【币界】币界网10月20日消息,Sharwa.Finance вже розкрила, що зазнала атаки, після чого призупинила свою роботу. Проте, через кілька годин сталося кілька підозрілих угод, зловмисники, ймовірно, скористалися трохи іншими шляхами атаки, використовуючи ту ж саму основну вразливість. В цілому, зловмисники спочатку створили маржинальний акаунт, потім скористалися наданим забезпеченням для отримання більше активів через кредитування з використанням важеля, а в кінці здійснили “сандвіч-атаку” на операції обміну, що стосуються запозичених активів.
Основною причиною, схоже, є відсутність перевірки банкрутства в функції swap() контракту MarginTrading, яка використовується для обміну позичених активів з однієї монети (такої як WBTC) на іншу монету (таку як USDC). Ця функція лише перед виконанням обміну активів перевіряє платоспроможність на основі стану акаунту на момент початку обміну, що залишає простір для маніпуляцій під час операції.
Атакувальник 1 (починається на 0xd356) здійснив кілька атак, отримавши прибуток близько 61 000 доларів. Атакувальник 2 (починається на 0xaa24) здійснив одну атаку, отримавши прибуток близько 85 000 доларів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
6 лайків
Нагородити
6
5
Репост
Поділіться
Прокоментувати
0/400
CryptoWageSlave
· 12год тому
Ще один протокол з важелем зазнав краху
Переглянути оригіналвідповісти на0
VitalikFanboy42
· 12год тому
Цей раз кодер знову успішно обшив.
Переглянути оригіналвідповісти на0
MetaverseVagrant
· 12год тому
Ще один проект defI був обдурений, як лохи
Переглянути оригіналвідповісти на0
0xInsomnia
· 12год тому
Знову яма свопу
Переглянути оригіналвідповісти на0
MoonRocketTeam
· 13год тому
Ще один космічний корабель був поглинений чорною дірою
Sharwa.Finance зазнала атаки з втратою 146 тисяч доларів США. У контракті MarginTrading існує вразливість.
【币界】币界网10月20日消息,Sharwa.Finance вже розкрила, що зазнала атаки, після чого призупинила свою роботу. Проте, через кілька годин сталося кілька підозрілих угод, зловмисники, ймовірно, скористалися трохи іншими шляхами атаки, використовуючи ту ж саму основну вразливість. В цілому, зловмисники спочатку створили маржинальний акаунт, потім скористалися наданим забезпеченням для отримання більше активів через кредитування з використанням важеля, а в кінці здійснили “сандвіч-атаку” на операції обміну, що стосуються запозичених активів.
Основною причиною, схоже, є відсутність перевірки банкрутства в функції swap() контракту MarginTrading, яка використовується для обміну позичених активів з однієї монети (такої як WBTC) на іншу монету (таку як USDC). Ця функція лише перед виконанням обміну активів перевіряє платоспроможність на основі стану акаунту на момент початку обміну, що залишає простір для маніпуляцій під час операції.
Атакувальник 1 (починається на 0xd356) здійснив кілька атак, отримавши прибуток близько 61 000 доларів. Атакувальник 2 (починається на 0xaa24) здійснив одну атаку, отримавши прибуток близько 85 000 доларів.