「ForesightNews」慢雾：DFXFinance存在严重漏洞遭攻击，攻击者获利逾23万美元

「ForesightNews」ForesightNews据慢雾安全团队报道，2022年11月11日，ETH链上的DFXFinance攻击者获利约231,138美元。慢雾安全团队以简讯的形式分享如下：1.攻击者首先调用了这个名字Curve的合约中的viewDeposit函数检查合同中的存款情况，然后根据返还的存款情况构建合适的闪电贷款。2.然后继续Curve合约的flash闪电贷款函数，因为函数没有重入锁保护，攻击者使用闪电贷款flashCallback函数回调合同deposit存款函数3.存款函数外部调用ProportionalLiquidity合约的proportionalDeposit函数将在函数中转移第二步借来的资金Curve在合同中，并为攻击合同记账存款，并为攻击合同铸造存款凭证4.利用重入存款函数将资金转移回来Curve在合同中，闪电贷款还款余额检查成功通过5。最后调用withdraw取款函数时，会根据第三步存款时攻击合同记账燃烧存款凭证，成功取出约2、283、092、402枚XIDR代币和99,866枚USDC这次攻击代币获利的主要原因是Curve合同闪电贷款函数未进行重新保护，导致攻击重新进入存款函数进行转账代币，通过闪电贷款还款余额判断。因为存款有记账，攻击者可以成功提款获利。