Bancor智能合約曝嚴重漏洞，超50萬美元資金已被安全轉移

北京時間6月28日，去中心化交易所協議Bancor被曝出現嚴重漏洞，此後Bancor官方和多位白帽黑客利用該漏洞，將用戶的資金轉移到了新的地址，目前涉及到的資金超過了50萬美元，據1inch創始人Anton Bukov分析稱，目前相關的資金似乎安全的，但其提醒稱，近期使用過Bancor協議的用戶，都應該撤銷他們的活動批准。而這起事件，再次反應出了智能合約安全審計的重要性。

以下是譯文：

最近部署的Bancor網路智能合約當中存在著一個嚴重的漏洞，這導致所有直接使用Bancor網路交換ERC20資產的人，通常會將其代幣無限次批准給這些智能合約之一，而這涉及到一種公開的方法，允許任何人使用這些批准來竊取用戶資金。用戶即便是把錢存放在自己的錢包當中，仍然是不安全的，應該先通過approved.zone撤銷無限批准，以免受到潛在的攻擊。

似乎Bancor團隊或白帽黑客發現了這個問題，並開始從用戶錢包中抽走資金。隨後，兩名其他的參與者加入了進來，和Bancor團隊一起轉移用戶錢包的資金，所有參與者都提供了聯繫信息，並可能同意退還被盜的資金。

我們用DuneAnalytics.com分析了所有的智能合約調用：https://explore.duneanalytics.com/queries/4761/source

存在漏洞的智能合約：

1. 0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
2. 0x5f58058C0eC971492166763c8C22632B583F667f

Bancor團隊的錢包：

1. 0xc8021b971e69e60c5deede19528b33dcd52cdbd8
2. 0x14fa61fd261ab950b9ce07685180a9555ab5d665

競跑者的錢包：

1. 0x052ede4c2a04670be329db369c4563283391a3ea
2. 0x1ad1099487b11879e6116ca1ceee486d1efa7b00
3. 0x854b21385544c44121f912aedf4419335004f8ec

Bancor團隊總共救出了409656美元，消耗的gas費是3.94 ETH，而自動競跑者轉移的資金為135229美元，消耗的gas費是1.92 ETH。 用戶被轉移的資金共計544885美元。

事情的經過：

Bancor團隊在UTC時間6月18日 03:06開始利用漏洞，使用臨時智能合約（0xDBA3739B4A29594FD3C89881CAFFA1862CE4BD630ED5F849B9F22707332E59E）生成批處理交易，他們共執行了62筆交易，提取了409656美元。

自動競跑者(郵箱：arden43y@gmail.com)幾乎在同一分鐘內加入，並成功在Bancor團隊之前完成交易（0xdba03739b4a29594fd3c89881caffa1862ce4bd630ed5f849b9f22707332e59e），他們共完成了16筆交易，總共轉移了131,889.34美元。

又一個競跑者

(0x9799b475dec92bd99bbdd943013325c36157f383@riseup.net)於UTC時間6月18日03:09加入轉幣活動，並成功完成了3筆交易，總共轉移3340美元。

1. 0x03dbfdc1c043afbc24537bb12a9ead5779b242da26e9acdf00e7cc967e3b9d81 — $820
2. 0xc07cfb0ad175bdb0c23b53e4fe8c8a61924d45760d0214c976dd84c656d7774b — $390
3. 0xf17e0025cfa680a1bd3e5c41ef44bf8d716724e0b626ba658b111451bf0e0815 — $630
4. 0xe1c94a9af2d5685a1bee89b40d3e7f8e047b9d6a6ef8fc1075e956afd793ef45 — $1500

Bancor團隊幾乎每分鐘都會和兩位競跑者一起獲取用戶資金，直到UTC時間6月18日06:56。

在UTC時間6月18日05:54，另一個Bancor團隊錢包加入了進來：0x14fa61fd261ab950b9ce07685180a9555ab5d665。

通過安全審計公司對合約進行多次安全審計是很重要的，我們建議項目方僱用白帽黑客對合約進行滲透測試，以避免這種情況。

我們希望所有的競跑者都能將用戶資金返還給Bancor團隊，後者會將資金償還給受害者。