|Bancor智能合约曝严重漏洞，超50万美元资金已被安全转移

本文插图

免责声明：本文旨在传递更多市场信息，不构成任何投资建议。文章仅代表作者观点，不代表火星财经官方立场。
小编：记得关注哦
来源：巴比特
原文标题：Bancor智能合约曝严重漏洞，超50万美元资金已被安全转移
北京时间6月28日，去中心化交易所协议Bancor被曝出现严重漏洞，此后Bancor官方和多位白帽黑客利用该漏洞，将用户的资金转移到了新的地址，目前涉及到的资金超过了50万美元，据1inch创始人Anton Bukov分析称，目前相关的资金似乎安全的，但其提醒称，近期使用过Bancor协议的用户，都应该撤销他们的活动批准。而这起事件，再次反应出了智能合约安全审计的重要性。

本文插图

以下是译文：
最近部署的Bancor网络智能合约当中存在着一个严重的漏洞，这导致所有直接使用Bancor网络交换ERC20资产的人，通常会将其代币无限次批准给这些智能合约之一，而这涉及到一种公开的方法，允许任何人使用这些批准来窃取用户资金。用户即便是把钱存放在自己的钱包当中，仍然是不安全的，应该先通过approved.zone撤销无限批准，以免受到潜在的攻击。
似乎Bancor团队或白帽黑客发现了这个问题，并开始从用户钱包中抽走资金。随后，两名其他的参与者加入了进来，和Bancor团队一起转移用户钱包的资金，所有参与者都提供了联系信息，并可能同意退还被盗的资金。
我们用DuneAnalytics.com分析了所有的智能合约调用：https://explore.duneanalytics.com/queries/4761/source
存在漏洞的智能合约：

0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
0x5f58058C0eC971492166763c8C22632B583F667f

Bancor团队的钱包：

0xc8021b971e69e60c5deede19528b33dcd52cdbd8
0x14fa61fd261ab950b9ce07685180a9555ab5d665

竞跑者的钱包：

0x052ede4c2a04670be329db369c4563283391a3ea
0x1ad1099487b11879e6116ca1ceee486d1efa7b00
0x854b21385544c44121f912aedf4419335004f8ec

Bancor团队总共救出了409656美元，消耗的gas费是3.94 ETH ，而自动竞跑者转移的资金为135229美元，消耗的gas费是1.92 ETH 。用户被转移的资金共计544885美元。
事情的经过：
Bancor团队在UTC时间6月18日 03:06开始利用漏洞，使用临时智能合约（0xDBA3739B4A29594FD3C89881CAFFA1862CE4BD630ED5F849B9F22707332E59E）生成批处理交易，他们共执行了62笔交易，提取了409656美元。

本文插图

自动竞跑者(邮箱：arden43y@gmail.com)几乎在同一分钟内加入，并成功在Bancor团队之前完成交易（0xdba03739b4a29594fd3c89881caffa1862ce4bd630ed5f849b9f22707332e59e），他们共完成了16笔交易，总共转移了131,889.34美元。