ForesightNews消息,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台分析,今晨被攻击的DeFi借贷协议Sentiment被盗资产约100万美元,其中包含0.5枚WBTC、30枚WETH、53.8万枚USDC和36万枚USDT。目前,大部分被盗资金还在攻击者地址。其攻击的原因在于重入导致的价格错误。Beosin安全团队分析该起事件:1.攻击者首先调用BalancerVault的「joinPool」函数进行质押。2.然后再调用「exitPool」取回质押,在这个过程中,BalancerVault会向攻击者发送eth从而调用攻击合约的fallback函数。在该函数中,攻击者调用0x62c5合约的borrow函数,该过程需要根据BalancerVault.getPoolTokens()的返回数据进行价格计算。而当前正在攻击者的「exitPool」过程中,pool中总供应量已经减少而数据还没有更新,攻击者利用这个数据错误从而多借出资产达成获利。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。