「ForesightNews」慢雾：NimbusPlatform 遭到攻击，攻击者获利约 278 枚 BNB

「ForesightNews」ForesightNews据慢雾安全团队报道，2022年12月14日，BNBChain上项目NimbusPlatform攻击者获利约278枚BNB。攻击过程如下：1.攻击者首先在8天前进行了交易(0x7d2d8d），把20枚BNB换成NBU_WBNB再换成GNIMB代币，然后把GNIMB代币转入Staking合同质押，为攻击做准备。2.8天后正式发起攻击交易(0x42f56d3)首先通过闪电贷款借出75477枚BNB并换成NBU_WBNB，然后用这些NBU_WBNB池子里的大部分代币都是池子里的代币NIMB代币兑换。3.接着调用Staking合约的getReward奖励提取函数，奖励计算为和rate值正相关，而rate这个值取决于池子NIMB代币和GNIMB因为NIMB代币的价格是根据上一步闪电贷款中控制池中的代币数量计算的，导致闪电贷款兑换大量代币而变高，最终计算的奖励会更多。4.攻击者最终会得到最后的GNIMB代币和所有权NIMB代币换成NBU_WBNB然后替换代币BNB，归还闪电贷款利润。4.攻击者最终会得到最后的GNIMB代币和所有权NIMB代币换成NBU_WBNB然后替换代币BNB，返还闪电贷款获利。这次攻击的主要原因是，奖励的计算只取决于池中的代币数量，导致闪电贷款控制，从而获得比预期更多的奖励。慢雾安全团队表示，在计算代币奖时，建议确保价格来源的安全。