温馨提示:这篇文章已超过536天没有更新,请注意相关的内容是否还可用!
据 Foresight News 报道,CertiK Alert 发推表示,KyberSwap 遭受的攻击漏洞存在于其Elastic的computeSwapStep()函数实现中。该函数计算实际交换输入/输出金额、交换费和产生的sqrtP。函数首先调用calcReachAmount(),得出攻击者的掉期不会越过刻度线,但错误地产生了一个比调用「calcFinalPrice」计算出的targetSqrtP稍大的价格。因此,流动性未被移除,导致攻击。攻击者对空刻度范围内的流动性池进行精密计算操作,利用交叉交换流动性计数,耗尽了许多包含低流动性的KyberSwap池。
