快訊

安全團隊：DFX Finance攻擊者獲利逾23萬美元

金色財經 2022-11-11 15:30

11月11日消息，據慢霧安全團隊情報，ETH鏈上的DFX Finance項目遭到攻擊，攻擊者獲利約231,138美元。慢霧安全團隊以簡訊形式分享如下： 1. 攻擊者首先調用了名為Curve的合約中的viewDeposit函數來查看合約中的存款情況，之後根據返回的存款情況來構造合適的閃電貸需要借出的錢。 2. 緊接着繼續Curve合約的flash函數進行閃電貸，因為該函數未做重入鎖保護，導致攻擊者利用閃電貸中的flashCallback函數回調了合約的deposit函數進行存款。 3. 存款函數外部調用了ProportionalLiquidity合約的proportionalDeposit函數，在該函數中會將第二步中借來的資金轉移回Curve合約里，並且為攻擊合約進行存款的記賬，並且為攻擊合約鑄造存款憑證。 4. 由於利用重入了存款函數來將資金轉移回Curve合約中，使得成功通過了閃電貸還款的餘額檢查。 5. 最後調用withdraw函數進行取款，取款時會根據第三步存款時對攻擊合約記賬燃燒掉存款憑證，並以此成功取出約2,283,092,402枚XIDR代幣和99,866枚USDC代幣獲利。此次攻擊的主要原因在於Curve合約閃電貸函數並未做重入保護，導致攻擊重入了存款函數進行轉賬代幣來通過閃電貸還款的餘額判斷，由於存款時有記賬所以攻擊者可以成功提款獲利。

暢行幣圈交易全攻略，專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群（點此入群）
不管是新手發問，還是老手交流，只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資，都歡迎入群討論學習！

▶ 前往鉅亨買幣找交易所優惠

買幣要選交易所！優惠盡在鉅亨買幣
掌握全球財經資訊點我下載APP

‌

上一篇
俄羅斯和土耳其將合作打擊與犯罪有關的加密交易
下一篇
安全團隊：DexFinance存在嚴重漏洞遭攻擊