MetaTrust Alertのツイートによると、イーサリアム上に展開されているプロジェクトEarning.Farmが攻撃されており、現時点での攻撃による損失額は約288ETH（536,000ドル相当）に達しているという。すべてのトークンが新しいウォレット (0 x ee 4 b 3 d) に転送されました。

この脆弱性の根本原因は、"EFVault "契約上の"お金を引き出す"ユーザーが次のことを行うことを可能にする関数にロジックの問題があります。"ENF_ETHLEV "残高が予想シェアよりも少ない場合は、ユーザーの残高のみを書き込みます"ENF_ETHLEV "最初のレベルのタイトル

攻撃ステップ

1/ 攻撃者はフラッシュ ローンから 10,000 イーサリアムを取得し、そのうちの 80 イーサリアムを「ENF_ETHLEV」コントラクトに入金し、295 e 18 株を取得します。

2/ 攻撃者は、「withdraw」関数を呼び出して、「ENF_ETHLEV」コントラクトから 295 e 18 シェアを引き出します。それから、"withdraw "外部コントラクトへの関数呼び出し"controller "引き出し関数は、攻撃者のコントラクトのフォールバック関数をトリガーします。

3/ フォールバック関数で、攻撃者は ( 295 e 18 - 1000) 個の `ENF_ETHEV` トークンを新しいウォレット 0 x fd 29 f 2 に転送し、攻撃者は 1000 個の `ENF-ETHEV` トークンのみを書き込みます。

4/ 攻撃者は、0 x fd 29 f 2 ウォレット内の `ENF_ETHEV` トークンを ETH に変換し、フラッシュ ローンを返済し、そこから利益を得ます。

攻撃トランザクションの 1 つ: https://etherscan.io/tx/ 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

参考ツイート：https://twitter.com/MetaTrustAlert/status/1689196222048030721?s=20

Follow Us

Twitter : @MetaTrustLabs

Website: metatrust.io