Giao thức cho vay DeFi Sentiment đã thu hồi được hơn 900.000 đô la tiền bị đánh cắp

Giao thức cho vay DeFi Sentiment cho biết họ đã khôi phục thành công hơn 900.000 đô la tiền bị đánh cắp. Những kẻ tấn công trước đó đã đánh cắp khoảng 966.000 đô la tài sản. Tình cảm tuyên bố rằng những kẻ tấn công đã trả lại số tiền còn lại đúng hạn và sẽ không có hành động nào chống lại chúng. Vào ngày 4 tháng 4, Sentiment bị tấn công. Nhóm bảo mật Beosin đã phân tích vụ việc và cho biết: 1. Đầu tiên, kẻ tấn công gọi chức năng “joinPool” của Balancer Vault để đặt cọc. 2. Sau đó gọi "exitPool" để lấy cam kết. Trong quá trình này, Balancer Vault sẽ gửi eth cho kẻ tấn công để gọi chức năng dự phòng của hợp đồng tấn công. Trong hàm này, kẻ tấn công gọi hàm mượn của hợp đồng 0x62c5, hàm này cần tính giá dựa trên dữ liệu được trả về bởi Balancer Vault.getPoolTokens(). Hiện tại, trong quá trình "exitPool" của kẻ tấn công, tổng nguồn cung trong nhóm đã giảm nhưng dữ liệu chưa được cập nhật, kẻ tấn công sử dụng lỗi dữ liệu này để cho vay thêm tài sản nhằm đạt được lợi nhuận.