BlockSec：Sharwa.Finance 遭多次攻击，损失超 14 万美元

ChainCatcher 消息，据市场消息，Sharwa.Finance 已披露其遭遇攻击，随后暂停运行。然而，数小时后又发生了多笔可疑交易，攻击者可能通过略有不同的攻击路径，利用了同一底层漏洞。

总体而言，攻击者首先创建一个保证金账户，然后利用提供的抵押品通过杠杆借贷借入更多资产，最后针对涉及所借资产的兑换操作发起“三明治攻击”。

根本原因似乎是 MarginTrading 合约的 swap() 函数中缺少破产检查，该函数用于将所借资产从一种代币（如 WBTC）兑换为另一种代币（如 USDC）。该函数仅在资产兑换执行前，根据兑换开始时的账户状态来验证偿付能力，这就为操作过程留下了被操纵的空间。

攻击者 1（0xd356 开头）实施了多次攻击，获利约 6.1 万美元。攻击者 2（0xaa24 开头）实施了一次攻击，获利约 8.5 万美元。