在智能合约中发现严重漏洞后，去中心化交易所Bancor自行入侵以防止盗窃

主要亮点：

Bancor去中心化交易所背后的智能合约的最新更新已发现包含一个严重漏洞。根据Bancor在6月18日发布的推文，易受攻击的智能合约于6月16日启动。自发现以来，Bancor的团队一直在进行黑客攻击，以从恶意行为者中节省尽可能多的用户资金。

漏洞允许未经授权的提款

最新版本的Bancor分散式交易所智能合约中发现了一个非常严重的错误，可能导致用户资金大量损失。据一家加密投资公司Hex Capital称，该问题允许任何人未经适当授权就可以呼叫“ safeTransferFrom”。此功能是ERC-20合同的关键要素之一，允许智能合同提取一定的备抵。因此，敦促在Bancor上进行交易并批准撤出智能合约的用户尽快将其撤消。这可以通过一个专门的网站认可的。

自发现错误以来，Bancor的团队就采取了一种有趣的方法来保护用户的资金。他们自己通过“白色黑客攻击”利用了智能合约中的漏洞。但是，Hex Capital认为，由于某些资金被盗，该团队“在许多情况下为时已晚”。

领先者通过复制交易来“窃取”一些钱

1inch.exchange团队进行的调查显示，Bancor的团队开始耗尽智能合约后，至少有两家众所周知的领先者开始复制他们的交易。虽然运行前的机器人被设置为利用套利机会，并且很可能“无法将套利机会与黑客区分开”，但它们确实设法占据了全部资金的五分之一。 1inch.exchange团队写道：

“ Bancor团队共拯救了409,656美元，并花费了3.94 ETH的汽油，而自动驾驶领先者获得了135,229美元，并花费了1.92 ETH的汽油。用户总共要支付544,885美元。”

但是，仍然有希望能够收回“被盗”的钱，因为所有运营领先者都可以公开获得其联系信息。此外，其中一名领跑者已经保证退还这笔钱。

安全审核忽略了该错误

事件发生后，一些社区成员开始质疑Bancor是否甚至对新的智能合约进行了审计。匿名的Twitter用户@FrankResearcher深入研究了Bancor的GitHub存储库，并发现了与安全审计有关的Kanso Labs。该公司似乎设在特拉维夫，Bancor团队的大多数人也位于此。

他们在带有v0.6合同的仓库中有两次提交，其中提到了来自未知Kanso Labs的安全审核pic.twitter.com/DG8nCTAvjs

-Frank Topbottom（@FrankResearcher）2020年6月18日

Bancor团队随后透露，该漏洞是在第三方开发人员发布后不久发现的，再次证明仅进行审计不足以确保安全。

—-

原文链接：https://coincodex.com/article/8608/decentralized-exchange-bancor-hacks-itself-to-prevent-theft-following-a-discovery-of-a-critical-vulnerability-in-its-smart-contract/

原文作者：Peter Compare

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。