Beosin: Dự án AES đã bị tấn công và kẻ tấn công đã kiếm được lợi nhuận khoảng 61.608 đô la

Theo giám sát rủi ro bảo mật Beosin EagleEye, cảnh báo sớm và giám sát nền tảng chặn của công ty kiểm toán bảo mật chuỗi khối Beosin, dự án AES đã bị tấn công. Nhóm bảo mật Beosin đã phân tích và phát hiện ra rằng vì hợp đồng cặp giao dịch AES-USDT có chức năng rút tiền, chức năng này có thể buộc cân bằng nguồn cung của cặp giao dịch và gửi số tiền dư thừa đến địa chỉ đã chỉ định. Trong cuộc tấn công này, trước tiên, kẻ tấn công đã chuyển trực tiếp một số mã thông báo AES đến cặp giao dịch, dẫn đến nguồn cung cấp không cân bằng, do đó, khi chức năng skimmer được gọi, các mã thông báo dư thừa sẽ được chuyển đến địa chỉ do kẻ tấn công chỉ định và kẻ tấn công chỉ định hợp đồng cặp giao dịch làm địa chỉ nhận ở đây, để AES dư thừa được gửi đến hợp đồng cặp giao dịch, khiến hợp đồng cặp giao dịch vẫn không cân bằng sau khi cân bằng bắt buộc và kẻ tấn công có thể liên tục gọi chức năng cân bằng bắt buộc. Ngoài ra, khi chức năng chuyển của hợp đồng mã thông báo AES được gọi, nếu người gửi đặt hợp đồng cặp giao dịch cho hợp đồng, một phần của AES sẽ bị hủy (tương đương với mã thông báo giảm phát). rất ít, khiến kẻ tấn công sử dụng một lượng nhỏ AES để đổi một lượng lớn USDT. Hiện tại, số tiền sinh lời đã được chuyển đến địa chỉ của kẻ tấn công (0x85214763f8eC06213Ef971ae29a21B613C4e8E05) và lợi nhuận thu được là khoảng 61.608 đô la Mỹ.