# oldfinch项目的SeniorPool合约遭受攻击

By [zsegs](https://paragraph.com/@zsegs) · 2022-06-29

---

#攻击过程
=====

1.  第一步：攻击者通过Uniswap V3的DAI-USDC池子闪电贷借出110,000个USDC代币。
    
2.  第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。
    
3.  第三步攻击者利用SeniorPool合约的withdrawInFidu函数，把106,667个FIDU代币兑换成113,853个USDC，然后归还闪电贷110,011个USDC，剩余本次攻击获利的3,842个USDC。
    

漏洞原因为：攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币，来获取SeniorPool合约抵押USDC代币的红利。

目前Curve中FIDU兑换USDC为1:1.03, 而在SeniorPool中的比例为1:1.07，这就产生了套利空间。

---

*Originally published on [zsegs](https://paragraph.com/@zsegs/oldfinch-seniorpool)*