本文详细描述了在2024年FuzzLand CTF中解决8Inch挑战的过程,包括对ERC-20合约TradeSettlement的深入分析。文章展示了合约中的多个漏洞,如何利用精度损失和溢出问题来进行攻击,并提供了最终的攻击脚本。通过这一过程,展示了合约安全审计的重要性及相关的漏洞细节。
该文章深入分析了KyberSwap遭受的攻击事件,攻击总损失超过4800万美元。根本原因是KyberSwap在再投资过程中,不正确的舍入方向导致了错误的tick计算,最终导致流动性被重复计算。攻击者通过操纵tick和价格,利用price计算中的精度损失,在step4中欺骗pool,然后在step5中double count流动性,从而获利。
Bazzani
blocksecteam