TechFlow 보도에 따르면, 6월 5일, SlowMist는 BSC 상의 DTXT/USDT 거래쌍이 유동성 추가 검사 로직을 위조할 수 있어 공격을 받았다고 보안 경고를 발표했다. 공격자는 최종적으로 약 35,041.106 USDT를 획득했다.
근본 원인은 DTXT가 USDT.balanceOf(pair) 값과 거래쌍의 예비 자금 간 차이를 비교함으로써 해당 조작이 유동성 추가, 유동성 제거, 혹은 매도 중 어느 것인지 판단하기 때문이다. 공격자는 먼저 거래쌍으로 극소량의 USDT를 직접 이체함으로써 대규모 DTXT 매도가 유동성 추가로 오인되게 했으며, 이를 통해 매도 수수료 및 swapFee 로직을 우회했다. 또한 플래시 대출을 활용한 유동성 추가 및 제거, 1 wei 규모의 USDT 잔고 위조, 그리고 Pair.swap 함수를 직접 호출해 USDT를 탈취했다.
즐겨찾기 추가
소셜 미디어 공유
