Kabut Lambat: DFX Finance diserang dengan kerentanan serius, dan penyerang menghasilkan keuntungan lebih dari $230.000

Menurut intelijen tim keamanan SlowMist, pada 11 November 2022, proyek DFX Finance di rantai ETH diserang, dan penyerang mendapat untung sekitar US$231.138. Tim keamanan SlowMist membagikan hal berikut dalam bentuk pesan teks: 1. Penyerang pertama-tama memanggil fungsi viewDeposit dalam kontrak bernama Curve untuk memeriksa status setoran dalam kontrak, lalu membuat pinjaman kilat yang sesuai berdasarkan setoran yang dikembalikan status Qian 2. Kemudian lanjutkan flash loan dengan fungsi flash kontrak Curve, karena fungsi ini tidak dilindungi re-entry lock, attacker menggunakan fungsi flashCallback di flash loan untuk memanggil kembali fungsi deposit kontrak untuk menyetor 3. Fungsi setoran disebut secara eksternal Fungsi proporsionalDeposit dari kontrak ProporsionalLikuiditas, di mana dana yang dipinjam pada langkah kedua akan ditransfer kembali ke kontrak Kurva, dan setoran akan dicatat untuk kontrak penyerangan, dan setoran sertifikat akan dicetak untuk kontrak serangan. Fungsi deposit digunakan untuk mentransfer dana kembali ke kontrak Curve, yang berhasil melewati pemeriksaan saldo pembayaran pinjaman kilat. Dengan ini, sekitar 2.283.092.402 token XIDR dan 99.866 token USDC berhasil ditarik Alasan utama serangan ini adalah karena fungsi flash loan dari kontrak Curve tidak memiliki perlindungan masuk kembali, yang menyebabkan masuknya kembali fungsi deposit untuk mentransfer token Dilihat dari saldo pelunasan flash loan, penyerang berhasil menarik uang dan mendapat untung karena ada akun saat setoran dilakukan.