TechFlow, le 8 avril, selon un message sur les réseaux sociaux de Certik, une vulnérabilité impliquant des prêts flash et un marché de NFT a été détectée. L'attaquant a exploité une combinaison de prêts flash sans frais et d'appels délégués (delegatecall) sur le marché de NFT, profitant principalement de failles dans les fonctions makeOffer et acceptOffer.
Après avoir obtenu de la liquidité via un prêt flash, l'attaquant a manipulé la logique de cotation du NFT en exécutant des opérations telles que makeOffer, acceptOffer et transferFrom. Bien qu'aucune perte directe de fonds n'ait été causée, la logique des transactions sur le marché de NFT a été compromise.
Certik recommande aux projets utilisant une logique de proposition déléguée d'examiner immédiatement leurs mécanismes de contrôle d'accès et de validation.




