慢雾：ONTR代币合约漏洞遭攻击，攻击者“凭空增发”套利约9.8万美元WETH

5月29日，据慢雾监测，ONTR代币合约中的onlyOwner修饰符存在访问���制漏洞。当owner == address(0) 时，任何地址都可以通过权限检查。在攻击发生前，该地址的owner一直为零地址。攻击者利用该漏洞，通过调用transferOwnership() 将所有权设置为攻击者合约，然后调用desertJasper() 向队列中添加隐藏余额，最后调用 glenFlash() 执行ashBud()，在不增加totalSupply的情况下，直接将该地址余额增加至1e30个基础单位。随后，攻击者将这些被“凭空增发”的代币转入标准的PancakePair，并通过swap() 从真实的WETH流动性池中兑换出资产。 攻击者借助代币合约的访问控制漏洞篡改账户余额、无偿增发代币，并从正规自动做市商（AMM）流动性池中盗取 WETH。本次攻击事件损失49.4801 枚WETH，约合98315.16美元。