据 Phalcon 监测,DeFi 项目 Earning.Farm 疑似遭到重入攻击,损失 154 枚 WETH(约合 28.6 万美元)。
据 MetaTrust Alert 分析,截止 18:23,遭受攻击损失金额已达 288 枚 ETH,价值约 536,000 美元。所有代币已被转入新的钱包 (0xee4b3d) 。
此漏洞的根本原因是 “EFVault “ 合约的 “ 提款 “ 函数中存在逻辑问题,该函数允许用户在 “ENF_ETHLEV “ 余额少于预期份额时仅烧毁用户的 “ENF_ETHLEV “ 余额。
攻击步骤:
1/ 攻击者从闪贷中获得 10,000 个以太坊,将其中的 80 个存入`ENF_ETHLEV`合约,并获得 295e18 个份额。
2/ 攻击者通过调用 `withdraw` 函数从 `ENF_ETHLEV` 合约中提取 295e18 份。然后,”withdraw “ 函数调用外部合约 “controller “ 的 withdraw 函数,触发攻击者合约的回退函数。
3/ 在回退函数中,攻击者将 (295e18 – 1000) `ENF_ETHEV` 代币转移到一个新的钱包 0xfd29f2,结果攻击者只被烧掉 1000 个 `ENF-ETHEV` 代币。
4/ 攻击者将 0xfd29f2 钱包中的 `ENF_ETHEV` 代币转换为 ETH,偿还闪贷,并从中获利。
其中一个攻击交易为: https://etherscan.io/tx/0x878d8986ed05ab32cc01e05663d27ea471576d2baff1081b15ed5fb550f9d81b 。
- 原文链接
- 本内容只为提供市场信息,不构成投资建议。