PANews 10月20日消息，据BlockSec Phalcon警报，Sharwa.Finance已披露其遭遇攻击，随后暂停运行。然而，数小时后又发生了多笔可疑交易，攻击者可能通过略有不同的攻击路径，利用了同一底层漏洞。总体而言，攻击者首先创建一个保证金账户，然后利用提供的抵押品通过杠杆借贷借入更多资产，最后针对涉及所借资产的兑换操作发起“三明治攻击”。根本原因似乎是MarginTrading合约的 swap() 函数中缺少破产检查，该函数用于将所借资产从一种代币（如WBTC）兑换为另一种代币（如USDC）。该函数仅在资产兑换执行前，根据兑换开始时的账户状态来验证偿付能力，这就为操作过程留下了被操纵的空间。攻击者1（0xd356开头）实施了多次攻击，获利约6.1万美元。攻击者2（0xaa24开头）实施了一次攻击，获利约8.5万美元。