BlockSec：Sharwa.Finance 遭多次攻擊，損失超 14 萬美元

ChainCatcher 消息，据市場消息，Sharwa.Finance 已披露其遭遇攻擊，隨後暫停運行。然而，數小時後又發生了多筆可疑交易，攻擊者可能通過略有不同的攻擊路徑，利用了同一底層漏洞。

總體而言，攻擊者首先創建一個保證金賬戶，然後利用提供的抵押品通過槓桿借貸借入更多資產，最後針對涉及所借資產的兌換操作發起"三明治攻擊"。

根本原因似乎是 MarginTrading 合約的 swap() 函數中缺少破產檢查，該函數用於將所借資產從一種代幣（如 WBTC）兌換為另一種代幣（如 USDC）。該函數僅在資產兌換執行前，根據兌換開始時的賬戶狀態來驗證償付能力，這就為操作過程留下了被操縱的空間。

攻擊者 1（0xd356 開頭）實施了多次攻擊，獲利約 6.1 萬美元。攻擊者 2（0xaa24 開頭）實施了一次攻擊，獲利約 8.5 萬美元。