【BlockSec:项目@jaypeggerz遭攻击,损失约15.32ETH】
【BlockSec:项目@jaypeggerz遭攻击,损失约15.32ETH】2022年12月29日06点51分12月29日消息,据BlockSec监测,项目@jaypeggerz遭攻击损失约15.32ETH(约1.8万美元)。BlockSec称这是一种成功操纵JAY代币价格的合约级重入攻击。JAY合约允许用户为buyJay函数传递任意ERC-721代币。攻击者利用该漏洞重新进入JAY合约。具体来说,攻击者先借入72.5ETH进行闪贷,然后用22ETH购买JAY代币。然后他使用另外50.5ETH调用buyJay函数,传递假的ERC-721代币。在伪造的ERC-721代币的transferFrom函数中,攻击者通过调用sell函数重新进入JAY合约,卖出所有JAY代币。由于以太坊余额在buyJay功能开始时有所增加,因此JAY代币价格受到操纵。攻击者在单笔交易中重复该过程两次,总利润为15.32ETH。攻击利润已转入TornadoCash。