PANews는 10월 15일 BlockSec Phalcon이 이더리움의 동일한 주소에 배포된 두 개의 알려지지 않은 계약을 대상으로 하는 여러 건의 의심스러운 거래(서로 다른 EOA에서 시작됨)를 감지하여 약 12만 달러의 손실을 발생시켰다는 경고를 발령했다고 보도했습니다. 근본 원인은 피해자 계약(오픈소스가 아님)의 핵심 함수인 approveERC20과 withdrawAll에 대한 접근 제어가 부족하여 공격자가 계약에 보관된 토큰을 인출할 수 있었던 것으로 추정됩니다.

withdrawAll 함수는 충분한 양의 #sil 토큰을 소각해야 한다는 점에 유의해야 합니다. 이는 두 번째 공격 트랜잭션(대부분의 손실을 야기한 TX2)에서 공격자가 플래시 대출을 통해 #sil 토큰을 먼저 확보한 후, 실제 공격을 실행하기 전에 여러 차례 토큰 스왑을 수행한 이유를 설명합니다.