MetaTrust: Earning.Farm, Sözleşmenin "Geri Çekme" İşlevindeki Mantık Sorunu Nedeniyle Hacklendi

MetaTrust tweet'lerine göre Ethereum üzerinde konuşlandırılan Earning.Farm projesi saldırıya uğradı.An itibariyle saldırı kayıplarının miktarı yaklaşık 288 $ETH'ye yani 536.000$'a ulaştı. Tüm jetonlar yeni cüzdana aktarıldı ( 0 x ee 4 b 3 d).

Bu güvenlik açığının temel nedeni, "EFVault" sözleşmesinin "Para Çekme" işlevinde, kullanıcının "ENF_ETHLEV" bakiyesini yalnızca "ENF_ETHLEV" bakiyesi belirtilenden az olduğunda yakmasına izin veren bir mantık sorunudur. beklenen pay

Saldırı adımları

1/ Saldırgan, flaş krediden 10.000 Ethereum alır, 80'ini ENF_ETHLEV sözleşmesine yatırır ve 295 e 18 hisse alır.

2/ Saldırgan, para çekme işlevini çağırarak ENF_ETHLEV sözleşmesinden 295 e 18 hisseyi geri çeker. Ardından, "geri çekme" işlevi, harici sözleşme "denetleyicisinin" geri çekme işlevini çağırarak saldırgan sözleşmesinin geri dönüş işlevini tetikler.

3/ Geri dönüş işlevinde, saldırgan ( 295 e 18 - 1000) ENF_ETHEV jetonunu yeni bir cüzdana 0 x fd 29 f 2 aktarır ve saldırgan yalnızca 1000 ENF-ETHEV jetonu yakar.

4/ Saldırgan, 0 x fd 29 f 2 cüzdanındaki ENF_ETHEV jetonunu ETH'ye dönüştürür, flaş krediyi geri öder ve bundan kâr elde eder.

Saldırı işlemlerinden biri: 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

Referans tweet'i:

Bizi takip edin

Twitter : @MetaTrustLabs

Web sitesi: metatrust.io