MetaTrust : Earning.Farm piraté en raison d'un problème de logique dans la fonction "Retirer" du contrat

Selon les tweets de MetaTrust, le projet Earning.Farm déployé sur Ethereum a été attaqué.À ce jour, le montant des pertes d'attaque a atteint environ 288 $ ETH, d'une valeur de 536 000 $. Tous les jetons ont été transférés vers le nouveau portefeuille ( 0 x ee 4 b 3 d).

La cause principale de cette vulnérabilité est un problème logique dans la fonction "Retirer" du contrat "EFVault", qui permet à l'utilisateur de ne graver le solde "ENF_ETHLEV" de l'utilisateur que lorsque le solde "ENF_ETHLEV" est inférieur au part attendue.

Étapes d'attaque

1/ L'attaquant obtient 10 000 Ethereum grâce au prêt flash, en dépose 80 dans le contrat ENF_ETHLEV, et obtient 295 e 18 actions.

2/ L'attaquant retire 295 e 18 actions du contrat ENF_ETHLEV en appelant la fonction de retrait. Ensuite, la fonction « retirer » appelle la fonction de retrait du contrat externe « contrôleur », déclenchant la fonction de repli du contrat attaquant.

3/ Dans la fonction de repli, l'attaquant transfère ( 295 e 18 - 1000) jetons ENF_ETHEV vers un nouveau portefeuille 0 x fd 29 f 2 , et l'attaquant ne brûle que 1000 jetons ENF-ETHEV .

4/ L'attaquant convertit le jeton ENF_ETHEV du portefeuille 0 x fd 29 f 2 en ETH, rembourse le prêt flash et en tire profit.

Une des transactions d'attaque : 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

Tweet de référence :

Suivez-nous

Twitter : @MetaTrustLabs

Site Web : metatrust.io