币圈最新消息10 月 15 日,据 Supremacy 安全团队监测,EarningFarm 的 EFLeverVault 合约遭到两次闪电贷攻击,第一笔攻击被 MEV bot 截获,造成合约损失 480 ETH;第二笔黑客完成攻击,黑客获利 268 ETH。
经过分析,漏洞是由合约的闪电贷回调函数未验证闪电贷发起者产生,攻击者可自行触发合约的闪电贷回调逻辑:偿还合约内的 Aave stETH 债务并提现,然后将 stETH 兑换为 ETH。随后攻击者可调用 withdraw 函数提现所有合约内的 ETH 余额。
