Theo tweet của MetaTrust Alert, dự án Earning.Farm được triển khai trên Ethereum đã bị tấn công, tính đến thời điểm hiện tại, số tiền thiệt hại do tấn công đã lên tới khoảng 288 USDETH, trị giá 536.000 USD. Tất cả token đã được chuyển sang ví mới ( 0 x ee 4 b 3 d).

Nguyên nhân sâu xa của lỗ hổng này là"EFVault "hợp đồng"rút tiền"Có một vấn đề logic trong một hàm cho phép người dùng"ENF_ETHLEV "Khi số dư ít hơn mức chia sẻ dự kiến, chỉ ghi phần của người dùng"ENF_ETHLEV "danh hiệu cấp một

bước tấn công

1/ Kẻ tấn công nhận được 10.000 Ethereum từ khoản vay nhanh, gửi 80 trong số đó vào hợp đồng `ENF_ETHLEV` và nhận được 295 e 18 cổ phiếu.

2/ Kẻ tấn công rút 295 e 18 cổ phiếu khỏi hợp đồng `ENF_ETHLEV` bằng cách gọi hàm `rút`. Sau đó,"withdraw "lệnh gọi hàm đến các hợp đồng bên ngoài"controller "Chức năng rút tiền kích hoạt chức năng dự phòng trong hợp đồng của kẻ tấn công.

3/ Trong chức năng dự phòng, kẻ tấn công chuyển ( 295 e 18 - 1000) mã thông báo `ENF_ETHEV` sang ví mới 0 x fd 29 f 2 và kẻ tấn công chỉ đốt 1000 mã thông báo `ENF-ETHEV`.

4/ Kẻ tấn công chuyển đổi mã thông báo `ENF_ETHEV` trong ví 0 x fd 29 f 2 thành ETH, hoàn trả khoản vay nhanh và kiếm lợi nhuận từ nó.

Một trong các giao dịch tấn công: https://etherscan.io/tx/ 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

Tweet tham khảo:https://twitter.com/MetaTrustAlert/status/1689196222048030721?s=20

Follow Us

Twitter : @MetaTrustLabs

Website: metatrust.io