Bancor智能合约曝严重漏洞，超50万美元资金已被安全转移

北京时间6月18日消息，去中心化交易所协议 Bancor 被曝出现严重漏洞，此后Bancor官方和多位白帽黑客利用该漏洞，将用户的资金转移到了新的地址，目前涉及到的资金超过了50万美元，据1inch创始人Anton Bukov分析称，目前相关的资金似乎安全的，但其提醒称，近期使用过Bancor协议的用户，都应该撤销他们的活动批准。而这起事件，再次反应出了智能合约安全审计的重要性。

以下是译文：

最近部署的Bancor网络智能合约当中存在着一个严重的漏洞，这导致所有直接使用Bancor网络交换ERC20资产的人，通常会将其代币无限次批准给这些智能合约之一，而这涉及到一种 公开的方法 ，允许任何人使用这些批准来窃取用户资金。 用户即便是把钱存放在自己的钱包当中，仍然是不安全的，应该先通过 approved.zone 撤销无限批准，以免受到潜在的攻击 。

似乎Bancor团队或白帽黑客发现了这个问题，并开始从用户钱包中抽走资金。随后，两名其他的参与者加入了进来，和Bancor团队一起转移用户钱包的资金，所有参与者都提供了联系信息，并可能同意退还被盗的资金。

我们用DuneAnalytics.com分析了所有的智能合约调用：https://explore.duneanalytics.com/queries/4761/source

存在漏洞的智能合约：

1. 0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
2. 0x5f58058C0eC971492166763c8C22632B583F667f

Bancor团队的钱包：

1. 0xc8021b971e69e60c5deede19528b33dcd52cdbd8
2. 0x14fa61fd261ab950b9ce07685180a9555ab5d665

竞跑者的钱包：

1. 0x052ede4c2a04670be329db369c4563283391a3ea
2. 0x1ad1099487b11879e6116ca1ceee486d1efa7b00
3. 0x854b21385544c44121f912aedf4419335004f8ec

Bancor团队总共救出了409656美元，消耗的gas费是3.94 ETH，而自动竞跑者转移的资金为135229美元，消耗的gas费是1.92 ETH。 用户被转移的资金共计544885美元。

事情的经过：

Bancor团队在UTC时间6月18日 03:06开始利用漏洞，使用临时智能合约（0xDBA3739B4A29594FD3C89881CAFFA1862CE4BD630ED5F849B9F22707332E59E）生成批处理交易，他们共执行了62笔交易，提取了409656美元。

自动竞跑者(邮箱：[email protected])几乎在同一分钟内加入，并成功在Bancor团队之前完成交易（ 0xdba03739b4a29594fd3c89881caffa1862ce4bd630ed5f849b9f22707332e59e ），他们共完成了16笔交易，总共转移了131,889.34美元。

又一个竞跑者

([email protected])于UTC时间6月18日03:09加入转币活动，并成功完成了3笔交易，总共转移3340美元。

1. 0x03dbfdc1c043afbc24537bb12a9ead5779b242da26e9acdf00e7cc967e3b9d81 — $820
2. 0xc07cfb0ad175bdb0c23b53e4fe8c8a61924d45760d0214c976dd84c656d7774b — $390
3. 0xf17e0025cfa680a1bd3e5c41ef44bf8d716724e0b626ba658b111451bf0e0815 — $630
4. 0xe1c94a9af2d5685a1bee89b40d3e7f8e047b9d6a6ef8fc1075e956afd793ef45 — $1500

Bancor团队几乎每分钟都会和两位竞跑者一起获取用户资金，直到UTC时间6月18日06:56。

在UTC时间6月18日05:54，另一个Bancor团队钱包加入了进来： 0x14fa61fd261ab950b9ce07685180a9555ab5d665 。

通过安全审计公司对合约进行多次安全审计是很重要的，我们建议项目方雇用白帽黑客对合约进行渗透测试，以避免这种情况。

我们希望所有的竞跑者都能将用户资金返还给Bancor团队，后者会将资金偿还给受害者。