攻击流程

1. 攻击者先创建 FDO 和 FUSDT 两个代币合约，然后向 wCRES/USDT 资金池存入 FDO 和 FUSDT 代币。
2. 接下来攻击者调用 wCRES/USDT 资金池合约的 flashLoan 函数进行闪电贷，借出资金池中的 wCRES 与 USDT 代币。
3. 由于 wCRES/USDT 资金池合约的 init 函数没有任何鉴权以及防止重复调用初始化的逻辑，攻击者通过闪电贷的外部逻辑执行功能调用了 wCRES/USDT 资金池合约的初始化函数，将资金池合约的代币对由 wCRES/USDT 替换为 FDO/FUSDT。
4. 由于资金池代币对被替换为 FDO/FUSDT 且攻击者在攻击开始时就将 FDO 和 FUSDT 代币存入了资金池合约，因最终通过了闪电贷资金归还的余额检查而获利。

总结

本次攻击发生的主要原因在于资金池合约初始化函数没有任何鉴权以及防止重复调用初始化的限制，导致攻击者利用闪电贷将真币借出，然后通过重新对合约初始化将资金池代币对替换为攻击者创建的假币，从而绕过闪电贷资金归还检查将真币收入囊中。

参考攻击交易：

https://cn.etherscan.com/tx/0x395675b56370a9f5fe8b32badfa80043f5291443bd6c8273900476880fb5221e