Security

解釋對 Aave 閃貸的“悲痛”攻擊

  • January 18, 2021

關於閃電貸的 Aave 文件警告不要將資金儲存在接收方契約中,因為它可能會受到“惡意”攻擊。

所以我的問題是

  1. 你能舉一個這種攻擊的例子嗎?
  2. 當資金需要在同一筆交易中退回時,如何儲存資金?

謝謝

開發人員@Aave 在這裡,好問題。

  1. 這取決於你的契約。但一個簡單的方法是:
  • 契約 A 有資金和executeOperation()
  • 合約 B 呼叫flashloan(),傳入合約 A 作為receiverAddress
  • 合約 A 現在執行executeOperation()
  • 契約A按設計償還了閃貸金額和債務

攻擊將是一個攻擊者合約,也將合約 A 作為 receiverAddress.

  1. 在上面的範例中,如果您使用閃電貸進行獲利套利交易,您可能會在合約 A 上留下利潤。因此,閃電貸金額會被退回,但您的利潤仍保留在合約中(如果您不積極地將它們轉移出去)。

引用自:https://ethereum.stackexchange.com/questions/92391