MetaTrust: Earning.Farm взломан из-за логической проблемы в функции «Вывод средств» контракта

Согласно твитам MetaTrust, проект Earning.Farm, развернутый на Ethereum, подвергся атаке.На данный момент сумма потерь от атаки достигла около 288 долларов ETH на сумму 536 000 долларов. Все токены переведены на новый кошелек (0 x ee 4 b 3 d).

Основной причиной этой уязвимости является логическая проблема в функции «Вывод средств» контракта «EFVault», которая позволяет пользователю сжечь баланс пользователя «ENF_ETHLEV» только тогда, когда баланс «ENF_ETHLEV» меньше ожидаемая доля.

Шаги атаки

1/ Злоумышленник получает 10 000 Ethereum из мгновенного займа, вносит 80 из них в контракт ENF_ETHLEV и получает 295 e 18 акций.

2/ Злоумышленник выводит 295 e 18 акций из контракта ENF_ETHLEV, вызывая функцию изъятия. Затем функция «снятия» вызывает функцию «снятия» внешнего контракта «контроллер», запуская резервную функцию контракта злоумышленника.

3/В резервной функции злоумышленник переводит (295 e 18 - 1000) токенов ENF_ETHEV на новый кошелек 0 x fd 29 f 2 и сжигает только 1000 токенов ENF-ETHEV.

4/ Злоумышленник конвертирует токен ENF_ETHEV в кошельке 0 x fd 29 f 2 в ETH, погашает флэш-кредит и получает от этого прибыль.

Одна из транзакций атаки: 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

Ссылочный твит:

Подписывайтесь на нас

Твиттер: @MetaTrustLabs

Сайт: metatrust.io.