找回密码
 立即注册
首页 业界区 业界 20250620 - Bonding 攻击事件: 项目方不创建的池子由我 ...

20250620 - Bonding 攻击事件: 项目方不创建的池子由我攻击者来创建

砂歹汤 2025-6-21 11:50:01
背景信息
本次攻击涉及 Bonding 和 LBM 两种代币,用户可以通过 Bonding.buy() 用 USDC 购买 Bonding,当 Bonding 合约中的 USDC 累积超过一定阈值时会触发回购机制将 USDC 兑换成 LBM,随后向 [Bonding, LBM] pool 添加流动性。
造成本次攻击的原因是添加流动性所采用的 pool 并未提前创建(代码逻辑是第一次触发时不存在则创建),攻击者先创建了比例失衡的恶意 [Bonding, LBM] pool。然后通过闪电贷大量的 USDC 来购买 Bonding 触发回购机制,当协议将大量的 LBM 添加到 pool 中后,攻击者将手上的 Bonding 兑换成 USDC 完成获利(Bonding -> LBM -> WETH -> USDC 完成获利)。损失金额 4884 USDC。
攻击交易:https://app.blocksec.com/explorer/tx/base/0x9d724db325de76b3d88368ed9948acd85e6b67b464eb0aac9f5d2bc3fdebf190
漏洞合约:https://basescan.org/address/0xffa1ed9c565a4e635543123b29889e96bcafa184#code
Trace 分析
1.png


  • 闪电贷获得 100000 USDC
  • 攻击者创建了Bonding 的价格极高的 [Bonding, LBM] pool
  • 攻击者通过 Bonding.buy() 用 11949 USDC 换取 1194.9 Bonding
  • 触发 Bonding 的回购机制
  • 用 17100 USDC 换取 332874 LBM
  • 将 332874 LBM 和 0 Bonding 作为流动性添加到攻击者创建的 pool 中
    2.png

  • 攻击者在恶意构造的 pool 中用 0.01 Bonding 换出 332874 LBM,随后按照 Bonding -> LBM -> WETH -> USDC  这个路径获得 16833 USDC
  • 归还闪电贷 100000 USDC,获利 4884 USDC。
    代码分析
    Bonding 和 LBM 组成一个双代币协议,LBM 作为 Bonding 的 feeToken。本次漏洞产生的原因主要在 Bonding 代币中。攻击者通过购入大量的 Bonding 代币触发回购机制。
    https://vscode.blockscan.com/8453/0x8D2Eb55F429aC689134ee547C74720BC41219F39
    3.png

在 _finalizeSale() 函数中,首先将 USDC 换成 LBM
4.png

随后检查需要添加流动性的 [Bonding, LBM] pool ,通过注释可以看出,项目方是故意先不部署池子的,等到实际触发回购机制的时候再创建,这就给了攻击者可乘之机。
5.png

由于攻击者已经创建好了 [Bonding, LBM] pool ,所以这里 pool 地址为非零地址。最终使得协议按照攻击者设置的 LBM 价格极高的比例向 pool 添加流动性,攻击者可以用极少的 Bonding 套取大量的 LBM,转而出售成 USDC 完成获利。
6.png


来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
您需要登录后才可以回帖 登录 | 立即注册