安全团队DFX Finance攻击者获利逾23万美元

11月11日消息，据慢雾安全团队情报，ETH链上的DFX Finance项目遭到攻击，攻击者获利约231,138美元。慢雾安全团队以简讯形式分享如下：

1. 攻击者首先调用了名为Curve的合约中的viewDeposit函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱。

2. 紧接着继续Curve合约的flash函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的flashCallback函数回调了合约的deposit函数进行存款。

3. 存款函数外部调用了ProportionalLiquidity合约的proportionalDeposit函数，在该函数中会将第二步中借来的资金转移回Curve合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证。

4. 由于利用重入了存款函数来将资金转移回Curve合约中，使得成功通过了闪电贷还款的余额检查。

5. 最后调用withdraw函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约2,283,092,402枚XIDR代币和99,866枚USDC代币获利。

此次攻击的主要原因在于Curve合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

其它传闻（路边社）

安全团队DFX Finance攻击者获利逾23万美元，于10月17日下午4点左右执行了一个不发币智能合约，由于这些智能合约计算复杂，造成币价大幅下跌。所有Finance代币最终会受损。由于这些币种价格会被机构追踪，攻击者需要多次代币上交易两次，执行多次交易多次后将其币返还，造成了差不多100%的损失。

2020年11月22日，据官方表示，安全团队推出了去中心化算法稳定币项目DFX Finance，并首次披露了该项目目前的情况。DFX 15天内被盗20万枚USDC和21万枚USDD，其市值几乎约于1.25亿美元。

DFX 是基于以太坊公链的ERC20代币，在DFX Finance中，用户创建、发行和销毁DOT代币是通过算法执行的，也可以通过智能合约在主网中访问。