PANews消息,自動做市商協議MonoX Finance遭到閃電貸攻擊,安全機構BlockSec分析了其中一筆黑客交易,這筆交易哈希為0x9f14d093a2349de08f02fc0fb018dadb449351d0cdb7d0738ff69cc6fef5f299 ,轉出地址為0xecbe385f78041895c311070f344b55bfaa953258 ,轉入地址為0xf079d7911c13369e7fd85607970036d2883afcfd 。
BlockSec發現,這次攻擊是因為MonoX合約中tokenIn和tokenOut使用的token是一樣的,這也是該合約的一大漏洞。具體來說,在`swapTokenForExactToken` 函數中,攻擊者可以使用與tokenIn和tokenOut相同的代幣。計算新價格之後, `Monoswap`合約再調用`_updateTokenInfo`函數更新價格。但是,由於tokenIn和tokenOut是同一個token , tokenOut更新之後會覆蓋tokenIn的價格更新,繼而導致這個token的價格暴漲。在這種情況下, MooX代幣價格會變得非常高,此時攻擊者便利用這一漏洞從流動性池中兌換所有的其他代幣。