MetaTrust：Earning.Farm遭到攻擊，原因是合約的 "提款 "函數存在邏輯問題

根據 MetaTrust Alert 推文提示，部署在 Ethereum 上的項目 Earning.Farm 遭到攻擊， 截止至現在，遭受攻擊損失金額已達約 288 $ETH，價值$ 536, 000 美元。所有代幣已被入新的錢包 ( 0 x ee 4 b 3 d)。

此漏洞的根本原因是 "EFVault "合約的 "提款 "函數中存在邏輯問題，該函數允許用戶在 "ENF_ETHLEV "余額少於預期份額時僅燒毀用戶的 "ENF_ETHLEV "余額。

攻擊步驟

1/ 攻擊者從閃貸中獲得 10, 000 個以太坊，將其中的 80 個存入`ENF_ETHLEV`合約，並獲得 295 e 18 個份額。

2/ 攻擊者通過調用 `withdraw` 函數從 `ENF_ETHLEV` 合約中提取 295 e 18 份。然後，"withdraw "函數調用外部合約 "controller "的 withdraw 函數，觸發攻擊者合約的回退函數。

3/ 在回退函數中，攻擊者將 ( 295 e 18 - 1000) `ENF_ETHEV` 代幣轉移到一個新的錢包 0 x fd 29 f 2 ，結果攻擊者只被燒掉 1000 個 `ENF-ETHEV` 代幣。

4/ 攻擊者將 0 x fd 29 f 2 錢包中的 `ENF_ETHEV` 代幣轉換為 ETH，償還閃貸，並從中獲利。

其中一個攻擊交易: https://etherscan.io/tx/ 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

參考推文： https://twitter.com/MetaTrustAlert/status/1689196222048030721?s=20

Follow Us

Twitter : @ MetaTrustLabs

Website: metatrust.io

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。