10月25日消息,CertiK在社交媒體上發文表示,KyberSwap被攻擊的漏洞存在於KyberSwapElastic的computeSwapStep()函數的實現中。該函數計算要扣除或添加的實際交換輸入/輸出金額、要收取的交換費以及由此產生的sqrtP。該函數首先調用了calcReachAmount()函數,得出攻擊者的掉期不會越過刻度線的結論,但錯誤地產生了一個比調用「calcFinalPrice」計算出的targetSqrtP稍大的價格。因此,流動性沒有被移除,導致了攻擊。攻擊者對空刻度範圍內的流動性池進行精密計算操作,利用交叉交換流動性計數,耗盡了許多包含低流動性的KyberSwap池。
