安全团队：DFXFinance攻击者获利超过23万美元。

11月11日，根据慢雾安全团队的信息，ETH链上的DFX金融项目遭到攻击，攻击者获利约231138美元。慢雾安全团队以短信的形式分享了以下内容：

1。攻击者首先调用名为Curve的契约中的viewDeposit函数，查看契约中的存款情况，然后根据返还的存款情况构造合适的钱用于闪电贷款。

2。然后为闪电贷延续了曲线合约的flash功能，因为该功能没有重锁保护，导致攻击者利用闪电贷中的flashCallback功能回调合约的押金功能。

3。存款函数对外调用ProportionalLiquidity合约的proportionalDeposit函数，其中第二步借入的资金将被转回曲线合约。，并对攻击合同的保证金进行记账，并为攻击合同铸造保证金凭证。

4。因为使用重入保证金功能将资金转回曲线合约，所以顺利通过闪电还贷的余额检查。

5。最后，调用取款函数来取款。取款时，会根据第三步攻击契约的核算，烧毁存款凭证，成功取出约2283092402枚XIDR代币和99866枚USDC代币获利。

这次攻击的主要原因是曲线合约闪电贷功能没有重新保护，导致再次进入存款功能转移代币判断闪电贷还款余额的攻击。因为存款时有记账，攻击者可以成功取钱获利。

推荐阅读

钱包狗狗币（火币钱包什么意思）

阿朵钱包（dash本地钱包）

3.1.以太坊闪电贷的双刃剑：动态调用与重入

FastSwap(FAST)项目遭到闪电贷攻击

Move语言分析：如何避免闪电贷重入攻击？

FastSwap(快)项目被闪电贷攻击。

安全团队：DFXFinance攻击者获利超过23万美元。

加密版无损「倒信用卡」获利百万美元，FEG闪电贷攻击事件分析

闪电贷技术详解-Part 1

慢雾：NimbusPlatform被黑主要在于计算奖励时仅取决于池子中的代币数量导致被闪电贷操控