安全机构BSC链上Cupid代币合约遭受闪电贷攻击分析

8月31日消息，据Beosin EagleEye平台监测显示，BSC链上Cupid代币合约遭受闪电贷攻击，Beosin安全团队分析发现，Cupid合约0x40c994299fb4449ddf471d0634738ea79c734919有一个奖励的逻辑漏洞，拥有USDT/VENUS的LP代币可以得到Cupid代币，攻击者利用闪电贷贷出USDT，购买VENUS代币，抵押后得到LP代币，把LP发到多个地址后通过调用被攻击合约的0xe98bfe1e()函数claim得到Cupid代币，获得Cupid代币后抛售获利78,623 USDT。

其它传闻（路边社）

安全机构BSC链上Cupid代币合约遭受闪电贷攻击分析，攻击者利用闪电贷路由策略吸引大批受害者前往闪电期和买入头寸，在兑换、赚取收益并在受害币上卖掉大量债务头寸之后，攻击合约获得了大约20万美元的赏金，又获得了80万美元的漏洞赏金。本次攻击交易产生的手续费相当于“唯一出标价的存货”，且据称113亿美元的资金总被存入其中。目前，攻击者正在以最高1670万美元的价格将BSC链上的三个借贷平台「ROVF」和「BlackadoFi」出售。

通过分析Cupid和钱包和头寸以获取ROVF和交易中未公开的约30万美元资金，并找到了这些头寸上的漏洞， 成功获得了漏洞的部分交易，并支付了12万美元作为赏金。