「泛海控股ForesightNews」慢雾：DFX Finance 存在严重漏洞遭攻击，攻击者获利逾 23 万美元

「ForesightNews」ForesightNews据慢雾安全团队报导，2022年11月11日，ETH链上的DFXFinance进犯者获利约231,138美元。慢雾安全团队以简讯的方式共享如下：1.进犯者首要调用了这个姓名Curve的合约中的viewDeposit函数查看合同中的存款状况，然后依据返还的存款状况构建适宜的闪电借款。2.然后持续Curve合约的flash闪电借款函数，由于函数没有重入锁维护，进犯者运用闪电借款flashCallback函数回调合同deposit存款函数3.存款函数外部调用ProportionalLiquidity合约的proportionalDeposit函数将在函数中搬运第二步借来的资金Curve在合同中，并为进犯合同记账存款，并为进犯合同铸造存款凭据4.使用重入存款函数将资金搬运回来Curve在合同中，闪电借款还款余额查看成功经过5。最终调用withdraw取款函数时，会依据第三步存款时进犯合同记账焚烧存款凭据，成功取出约2、283、092、402枚XIDR代币和99,866枚USDC这次进犯代币获利的首要原因是Curve合同闪电借款函数未进行从头维护，导致进犯从头进入存款函数进行转账代币，经过闪电借款还款余额判别。由于存款有记账，进犯者能够成功提款获利。