「ForesightNews」据Web3网络安全公司Ancilia报道,
NFT贷款协议ParaSpace受到攻击的根本原因发生在合同0xdde38696fbe5d11497d72d801f651642d62353的函数Scalebalanceof()上,通过supply()函数计算用户的抵押品。然而,通过在函数getpoledapebyshares()中操纵ape代币的数量,scaledbalanceof()可以返回一个大值。然而,通过在函数getpoledapebyshares()中操纵ape代币的数量,scaledbalanceof()可以返回一个大值。用户可以拥有大量的抵押品,并使用它来借用更多的资产。具体来说,黑客来自Lidoo.fi闪贷47、111.35WSTETH,创建新合同后,以约6000WSTETH为抵押借入184万APE,然后将184万APE转入原攻击合同0xc181,0xc181合同调用184万APE铸造184万衍生代币CAPE。重复这一步8次,直到CAPE耗尽。黑客花了1334枚ETH取代491,166枚APE,调用withdraw(1.84M)获得额外的184万枚APE,目前持有约230万枚APE。在Paraspacecompound协议中,黑客将调用scaledBalanceof()在借出资产前检查用户的抵押品。然而,由于价格操纵漏洞,黑客借了更多的钱。目前,Ancilia正在等待ParaSpace团队对技术分析的回应。
