DeFi 投資ツール Earning.Farm がフラッシュローン攻撃を受け、ハッカーは34万ドル以上の利益を得た。

ChainCatcher のメッセージによると、Supremacy セキュリティチームの監視により、DeFi 投資ツール Earning.Farm の EFLeverVault コントラクトが 2 回のフラッシュローン攻撃を受けました。最初の攻撃は MEV ボットによってキャッチされ、コントラクトは 480 ETH の損失を被りました。2 回目の攻撃では、ハッカーが攻撃を完了し、268 ETH の利益を得ました。

分析の結果、脆弱性はコントラクトのフラッシュローンコールバック関数がフラッシュローンの発起者を検証していないことに起因しています。攻撃者はコントラクトのフラッシュローンコールバックロジックを自らトリガーすることができます：コントラクト内の Aave stETH の債務を返済し、引き出し、その後 stETH を ETH に交換します。次に、攻撃者は withdraw 関数を呼び出してコントラクト内のすべての ETH 残高を引き出すことができます。（出典リンク）