BlockSec Phalcon: SharwaFinance bị tấn công, kẻ tấn công thu lợi khoảng 146,000 USD

Foresight News đưa tin, theo giám sát của BlockSec Phalcon, giao thức tài chính phi tập trung SharwaFinance thông báo đã bị tấn công và tạm dừng dịch vụ, tuy nhiên chỉ vài giờ sau lại xuất hiện một số giao dịch đáng ngờ, có thể đã khai thác cùng một lỗ hổng tiềm ẩn. Kẻ tấn công đầu tiên đã tạo một tài khoản ký quỹ, sau đó sử dụng tài sản thế chấp để vay đòn bẩy, cuối cùng thực hiện một cuộc tấn công sandwich đối với các giao dịch hoán đổi liên quan đến tài sản vay mượn. Nguyên nhân gốc rễ dường như là do hàm swap () của hợp đồng MarginTrading thiếu kiểm tra phá sản, hàm này chỉ xác minh khả năng thanh toán dựa trên trạng thái tài khoản trước khi thực hiện hoán đổi tài sản, dẫn đến có không gian để thao túng trong quá trình này.

Hai kẻ tấn công đã thu lợi tổng cộng khoảng 146,000 USD, trong đó kẻ tấn công 1 (0xd356...c08) thu lợi khoảng 61,000 USD qua nhiều lần tấn công, còn kẻ tấn công 2 (0xaa24...795) thu lợi khoảng 85,000 USD qua một lần tấn công.