零时科技 || Port3 攻击事件分析

This article is not available in the current language yet. Showing the original version.
零时科技
零时科技
11 月 23 日,BNB Smart Chain 上 Port3 项目遭攻击。因合约部署未设 owner,攻击者可伪造跨链交易大量增发代币,致其价格归零。建议项目方多方验证代码逻辑,合约上线前由多家审计公司交叉审计。

背景介绍

2025年 11 ⽉ 23 ⽇,我们监控到 BNB Smart Chain 上针对Port3项⽬的攻击事件(其中之⼀):

https://bscscan.com/tx/0xa7488ff4d6a85bf19994748837713c710650378383530ae709aec628023cd7cc

经过详细分析,攻击者从 2025 年 11 ⽉ 23 ⽇起,持续对 Port3 项⽬发起攻击,攻击造成 Port3 Token ⼤量增发,导致价格归零。

攻击及事件分析

看⼀下攻击者发起的交易,

攻击者先调⽤ registerChains 后,再调⽤ bridgeIn 。通过利⽤ bridgeIn 完成了 Port3 Token 的 free mint 。

我们看⼀下Port3项⽬的合约中的registerChains函数是如何实现的:

该函数的主要作⽤就是设置接收指定 chainID 的 token 。但是,这个函数有对应的权限校验函数 onlyOwnerOrOwnerSignature ,接下来,我们看看攻击者是如何绕过权限校验函数。

onlyOwnerOrOwnerSignature 的具体实现如下:

问题就出现在红框中代码,由于合约的 owner 没有设置,

所以,任何⼈都可以通过这个验证,攻击者通过 registerChains 将 token address 加⼊到 _state.tokenImplementations 中,随后在 bridgeIn 中的绕过检测,从⽽完成 _mint 的操作。

总结

本次漏洞的成因是函数 Port3 项⽬在合约部署后,未设置 onwer ,导致攻击者可以随意设置接收跨链交易的合约地址,最终导致攻击者伪造跨链交易完成 Port3 Token 的⼤量增发。建议项⽬⽅在设计经济模型和代码运⾏逻辑时要多⽅验证,合约上线前审计时尽量选择多个审计公司交叉审计。

Share to:

Author: 零时科技

Opinions belong to the column author and do not represent PANews.

This content is not investment advice.

Image source: 零时科技. If there is any infringement, please contact the author for removal.

Follow PANews official accounts, navigate bull and bear markets together
Telegram Discussion Group
Telegram News Channel
@PANews
Recommended Reading
零时科技

零时科技

【安全月报】| 3 月加密货币领域因安全事件损失约 1.98 亿美元
零时科技

零时科技

2月加密安全报告出炉,AI仿冒钓鱼成头号威胁
零时科技

零时科技

【安全月报】| 1 月加密货币领域因安全事件损失超 4 亿美元
零时科技

零时科技

一次精心设计的“自爆”:PGNLZ攻击事件分析
零时科技

零时科技

零时科技2025 Web3安全年报:损失激增78%背后的“猎杀”真相
Beosin

Beosin

2025 Web3 Security Annual Report: Supply Chain Attacks Become the Biggest Threat

Popular Articles

Industry News
Market Trends
Curated Readings
Subscribe
PANews App
24/7 blockchain news tracking and in-depth analysis.
Download PANews App
App StoreGoogle Play
PANews APP
In March, hedge funds withdrew from global stock markets at the fastest pace in 13 years.
PANews Newsflash