10月25日訊息,CertiK在社群媒體上發文表示,KyberSwap被攻擊的漏洞存在於KyberSwap Elastic的computeSwapStep()函數的實作中。此函數計算要扣除或添加的實際交換輸入/輸出金額、要收取的交換費以及由此產生的sqrtP。這個函數首先呼叫了calcReachAmount()函數,得出攻擊者的掉期不會越過刻度線的結論,但錯誤地產生了一個比呼叫「calcFinalPrice」計算出的targetSqrtP稍大的價格。因此,流動性沒有被移除,導致了攻擊。攻擊者對空刻度範圍內的流動性池進行精密計算操作,利用交叉交換流動性計數,耗盡了許多包含低流動性的KyberSwap池。
dark