慢霧：ONTR代幣合約漏洞遭攻擊，攻擊者“憑空增發”套利約9.8萬美元WETH

金色財經報道，5月29日，據慢霧監測，ONTR代幣合約中的onlyOwner修飾符存在訪問控制漏洞。當owner == address(0) 時，任何地址都可以通過權限檢查。在攻擊發生前，該地址的owner一直爲零地址。攻擊者利用該漏洞，通過調用transferOwnership() 將所有權設置爲攻擊者合約，然後調用desertJasper() 向隊列中添加隱藏餘額，最後調用 glenFlash() 執行ashBud()，在不增加totalSupply的情況下，直接將該地址餘額增加至1e30個基礎單位。隨後，攻擊者將這些被“憑空增發”的代幣轉入標準的PancakePair，並通過swap() 從真實的WETH流動性池中兌換出資產。 攻擊者藉助代幣合約的訪問控制漏洞篡改賬戶餘額、無償增發代幣，並從正規自動做市商（AMM）流動性池中盜取 WETH。本次攻擊事件損失49.4801 枚WETH，約合98315.16美元。