MetaTrust: Earning.Farm hackeado devido a um problema de lógica na função "Retirar" do contrato

De acordo com os tweets da MetaTrust, o projeto Earning.Farm implantado no Ethereum foi atacado. Até agora, a quantidade de perdas do ataque atingiu cerca de 288 $ ETH, no valor de $ 536.000. Todos os tokens foram transferidos para a nova carteira ( 0 x ee 4 b 3 d).

A causa raiz dessa vulnerabilidade é um problema lógico na função "Retirar" do contrato "EFVault", que permite ao usuário queimar apenas o saldo "ENF_ETHLEV" do usuário quando o saldo "ENF_ETHLEV" for menor que o participação esperada.

Etapas de ataque

1/ O atacante obtém 10.000 Ethereum do empréstimo flash, deposita 80 deles no contrato ENF_ETHLEV e obtém 295 e 18 ações.

2/ O atacante retira 295 e 18 ações do contrato ENF_ETHLEV chamando a função de retirada. Em seguida, a função "withdraw" chama a função de retirada do "controlador" do contrato externo, acionando a função de fallback do contrato do atacante.

3/ Na função fallback, o atacante transfere (295 e 18 - 1000) tokens ENF_ETHEV para uma nova carteira 0 x fd 29 f 2 , e o atacante queima apenas 1000 tokens ENF-ETHEV .

4/ O invasor converte o token ENF_ETHEV na carteira 0 x fd 29 f 2 em ETH, paga o empréstimo flash e lucra com isso.

Uma das transações de ataque: 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

Tweet de referência:

Siga-nos

Twitter: @MetaTrustLabs

Site: metatrust.io