4、由于资金池代币对被替换为 FDO/FUSDT 且攻击者在攻击开始时就将 FDO 和 FUSDT 代币存入了资金池合约,因最终通过了闪电贷资金归还的余额检查而获利。 总结 本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制,导致攻击者利用闪电贷将真币借出,然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币,从而绕过闪电贷资金归还检查将真币收入囊中。 参考攻击交易: https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e (责任编辑:admin) |