MetaTrust: Earning.Farm bị hack do sự cố logic trong chức năng "Rút tiền" của hợp đồng

Theo các tweet của MetaTrust, dự án Earning.Farm triển khai trên Ethereum đã bị tấn công, tính đến thời điểm hiện tại, thiệt hại do cuộc tấn công lên tới khoảng 288 ETH, trị giá 536.000 USD. Tất cả các mã thông báo đã được chuyển sang ví mới ( 0 x ee 4 b 3 d).

Nguyên nhân sâu xa của lỗ hổng này là một vấn đề logic trong chức năng "Rút tiền" của hợp đồng "EFVault", cho phép người dùng chỉ ghi số dư "ENF_ETHLEV" của người dùng khi số dư "ENF_ETHLEV" nhỏ hơn cổ phiếu dự kiến.

Các bước tấn công

1/ Kẻ tấn công lấy được 10.000 Ethereum từ khoản vay nhanh, gửi 80 trong số đó vào hợp đồng ENF_ETHLEV và lấy 295 e 18 cổ phiếu.

2/ Kẻ tấn công rút 295 e 18 cổ phiếu từ hợp đồng ENF_ETHLEV bằng cách gọi chức năng rút tiền. Sau đó, chức năng "rút tiền" gọi chức năng rút tiền của hợp đồng bên ngoài là "bộ điều khiển", kích hoạt chức năng dự phòng của hợp đồng kẻ tấn công.

3/ Trong chức năng dự phòng, kẻ tấn công chuyển ( 295 e 18 - 1000) mã thông báo ENF_ETHEV sang ví mới 0 x fd 29 f 2 và kẻ tấn công chỉ đốt 1000 mã thông báo ENF-ETHEV.

4/ Kẻ tấn công chuyển đổi mã thông báo ENF_ETHEV trong ví 0 x fd 29 f 2 thành ETH, hoàn trả khoản vay nhanh và kiếm lợi nhuận từ đó.

Một trong các giao dịch tấn công: 0 x 878 d 8986 ed 05 ab 32 cc 01 e 05663 d 27 ea 471576 d 2 baff 1081 b 15 ed 5 fb 550 f 9 d 81 b

Tweet tham khảo:

Theo chúng tôi

Twitter: @MetaTrustLabs

Trang web: metatrust.io