零时科技 | CloberDEX 攻击事件分析
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
CloberDEX项目近期遭遇链上攻击,攻击者通过重入漏洞获利约133 ETH(约50万美元)。攻击者利用闪电贷借入267个WETH,创建交易对并添加流动性,最终通过控制合约地址实施重入攻击,导致项目资金被掏空。建议项目方加强合约审计和重入检测。
🎯
关键要点
-
CloberDEX项目近期遭遇链上攻击,攻击者获利约133 ETH,约50万美元。
-
攻击者利用闪电贷借入267个WETH,创建交易对并添加流动性。
-
攻击者通过控制合约地址实施重入攻击,导致项目资金被掏空。
-
攻击者的合约地址被写为自己的攻击合约地址,最终完成重入攻击。
-
漏洞成因是CloberDEX项目方合约未进行重入检测和防护。
-
建议项目方加强合约审计和重入检测,选择多个审计公司交叉审计。
❓
延伸问答
CloberDEX项目遭遇了什么样的攻击?
CloberDEX项目遭遇了链上攻击,攻击者通过重入漏洞获利约133 ETH,约50万美元。
攻击者是如何利用闪电贷进行攻击的?
攻击者利用闪电贷借入267个WETH,创建交易对并添加流动性,最终实施重入攻击。
CloberDEX项目的合约漏洞是什么原因导致的?
漏洞成因是CloberDEX项目方合约未进行重入检测和防护,且状态变量更新在合约调用之后。
攻击者通过重入漏洞获得了多少收益?
攻击者通过重入漏洞获得了约133.7 ETH,约50万美元。
针对CloberDEX的攻击有什么建议?
建议项目方加强合约审计和重入检测,选择多个审计公司进行交叉审计。
攻击者是如何控制合约地址的?
攻击者将交易对对应的pool的strategy合约地址写为自己的攻击合约地址,从而控制了合约流程。
➡️
