前言
北京时间 2022 年 6 月 8 日,知道创宇区块链安全实验室 自动数据监测工具监测到 BSC 链上 NFT 项目 GYM Network 因 “Public depositFromOtherContract” 权限控制问题被攻击,损失包括 7475 枚 BNB,共计约 216W 美元,目前已将兑通过 DEX 换 70W 美元的 ETH 通过 Celer 跨链到以太坊,2000 枚BNB 利用 BSC-Tornado 进行混币,余下 3000 枚 BNB 在攻击者地址。
知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。
基础信息
被攻击合约 :0x0288fba0bf19072d30490a0f3c81cd9b0634258a
攻击者地址:0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22
tx:0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89
GymSinglePool 代理合约: 0xa8987285e100a8b557f06a7889f79e0064b359f2
漏洞分析
项目方在 GymSinglePool 合约中实现过程中对于 0x0288fba0bf1