TechFlow 소식, BlockSec의 보고서에 따르면 xDai 체인 상의 Agave 컨트랙트가 신뢰할 수 없는 외부 호출로 인해 공격을 당했다. 공격자는 부채가 전혀 없는 상태에서 `liquidateCall` 함수를 호출하여 스스로를 청산했다. 청산 과정에서 청산 컨트랙트는 공격자 컨트랙트를 호출하였으며, 이때 공격용 컨트랙트는 플래시론으로 조달한 2728 WETH를 예치하고, 이를 통해 2728 aWETH를 발행했다. 이후 이를 담보로 Agave 프로젝트 내에서 사용 가능한 모든 자산을 빌려갔다. 외부 호출이 종료된 후, `liquidateCall` 함수는 공격자가 이전에 예치한 2728 aWETH를 직접 청산하여 정산자에게 송금했다.
즐겨찾기 추가
소셜 미디어 공유




