鼓狮财经快讯:据 SlowMist 监测,知名代币 ONTR 近期突发严重智能合约安全漏洞,导致黑客成功盗取约 9.8 万美元的 WETH(以太币)。此次事件再次凸显了 DeFi 项目在代码审计与权限管理上的潜在风险,项目方需立即采取补救措施以挽回投资者损失。
经深入技术分析,攻击者利用了 ONTR 合约中 `onlyOwner` 修饰符存在的访问控制缺陷。在合约初始化阶段,owner 地址本应指向项目方,但在特定条件下却异常地显示为空地址 `address(0)`。攻击者正是利用这一漏洞,成功绕过了原本应具备的严格权限检查机制,从而为后续的提权操作铺平了道路。
攻击者的作案手法十分精密且具有隐蔽性。首先,攻击者通过合约调用 `transferOwnership()`,将自己控制的合约地址注册为代币合约的新拥有者。随后,攻击者利用新获得的最高权限,依次调用了 `desertJasper()`、`glenFlash()` 以及 `ashBud()` 等函数。其中,`glenFlash()` 配合 `ashBud()` 的操作最为关键,它直接向攻击者地址增加了 1e30 数量级的巨额代币,而并未同步增加代币的总供应量,从而制造了巨大的代币泡沫。
在完成代币增发后,攻击者迅速将手中的膨胀代币转移至去中心化交易所的流动性池 PancakePair。通过执行 `swap()` 函数,攻击者成功将这些毫无价值的通胀代币兑换成了实际的 WETH。最终,攻击者通过一系列精心设计的操作,完成了从漏洞利用到资产变现的全过程,给项目方造成了不可挽回的经济损失。