ตามทวีตของ MetaTrust Alert โครงการ Earning.Farm ที่ปรับใช้บน Ethereum ถูกโจมตี ขณะนี้ จำนวนความเสียหายจากการโจมตีสูงถึงประมาณ 288 $ETH มูลค่า 536,000 ดอลลาร์ โทเค็นทั้งหมดถูกโอนไปยังกระเป๋าเงินใหม่แล้ว ( 0 x ee 4 b 3 d)

สาเหตุของช่องโหว่นี้คือ"EFVault "ตามสัญญา"เบิกเงิน"มีปัญหาตรรกะในฟังก์ชันที่อนุญาตให้ผู้ใช้ทำ"ENF_ETHLEV "เมื่อยอดคงเหลือน้อยกว่าส่วนแบ่งที่คาดไว้ ให้เบิร์นเฉพาะผู้ใช้เท่านั้น"ENF_ETHLEV "ชื่อระดับแรก

ขั้นตอนการโจมตี

1/ ผู้โจมตีได้รับ 10,000 Ethereum จากเงินกู้แฟลช ฝาก 80 รายการไว้ในสัญญา `ENF_ETHLEV` และได้รับ 295 e 18 หุ้น

2/ ผู้โจมตีถอนหุ้น 295 e 18 จากสัญญา `ENF_ETHLEV` โดยการเรียกใช้ฟังก์ชัน `ถอนออก` แล้ว,"withdraw "การเรียกใช้ฟังก์ชันไปยังสัญญาภายนอก"controller "ฟังก์ชันการถอนจะทริกเกอร์ฟังก์ชันทางเลือกของสัญญาของผู้โจมตี

3/ ในฟังก์ชันสำรอง ผู้โจมตีโอน ( 295 e 18 - 1,000) โทเค็น `ENF_ETHEV` ไปยังกระเป๋าเงินใหม่ 0 x fd 29 f 2 และผู้โจมตีเผาโทเค็น `ENF-ETHEV` เพียง 1,000 รายการเท่านั้น

4/ ผู้โจมตีแปลงโทเค็น `ENF_ETHEV` ในกระเป๋าเงิน 0 x fd 29 f 2 เป็น ETH ชำระคืนเงินกู้แฟลช และทำกำไรจากโทเค็น

หนึ่งในธุรกรรมการโจมตี: https://etherscan.io/tx/ 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

ทวีตอ้างอิง:https://twitter.com/MetaTrustAlert/status/1689196222048030721?s=20

Follow Us

Twitter : @MetaTrustLabs

Website: metatrust.io