Odaily星球日报讯 据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,北京时间5月14日,DeFi协议land疑似遭到攻击,损失约15万美元,Beosin Trace追踪发现已有149,616枚BUSD被盗,目前,大部分被盗资金还在攻击者地址。
其攻击原因在于mint权限控制缺失。具体来说,(1)项目方存在几个miner地址可以mint NFT,其中包含0x2e599883715d2f92468fa5ae3f9aab4e930e3ac7合约;(2)攻击者调用 0x2e599883715d2f92468fa5ae3f9aab4e930e3ac7合约mint 200枚NFT;(3)攻击者调用 0xeab03ad7ea0ac5afb272b592bef88cf93ed190c5合约的0x2c672a34函数,用上一步铸造的NFT换取大量XQJ代币(每枚NFT兑换200 XQJ),直到该合约无法换出XQJ;(4)攻击者用28,601 XQJ兑换了149,616枚BUSD;(5)攻击者再次mint NFT直到NFT发行上限,攻击结束后攻击者仍持有733枚NFT。
