深潮 TechFlow 消息,10 月 20 日,据区块链安全机构 BlockSec Phalcon(@Phalcon_xyz)监测,去中心化金融协议 Sharwa Finance 遭受攻击并随后暂停运营。攻击发生数小时后,仍有多笔可疑交易通过略有不同的攻击路径利用相同漏洞。
攻击者首先创建保证金账户,然后使用提供的抵押品通过杠杆借贷借入额外资产,最后对涉及借入资产的交换操作执行夹子攻击。漏洞根源为 MarginTrading 合约的 swap() 函数缺少偿付能力检查,该函数仅在资产交换执行前验证账户状态的偿付能力。
两名攻击者共获利约 14.6 万美元,其中攻击者 1(0xd356…c08)通过多次攻击获利约 6.1 万美元,攻击者 2(0xaa24…795)通过单次攻击获利约 8.5 万美元。