# oldfinch项目的SeniorPool合约遭受攻击

**Published by:** [zsegs](https://paragraph.com/@zsegs/)
**Published on:** 2022-06-29
**URL:** https://paragraph.com/@zsegs/oldfinch-seniorpool

## Content

#攻击过程 第一步：攻击者通过Uniswap V3的DAI-USDC池子闪电贷借出110,000个USDC代币。 第二步攻击者再把110,000个USDC代币从Curve的FIDU-USDC池子兑换出106,667个FIDU代币。 第三步攻击者利用SeniorPool合约的withdrawInFidu函数，把106,667个FIDU代币兑换成113,853个USDC，然后归还闪电贷110,011个USDC，剩余本次攻击获利的3,842个USDC。 漏洞原因为：攻击者可以利用Curve的FIDU-USDC池子获取FIDU代币，来获取SeniorPool合约抵押USDC代币的红利。 目前Curve中FIDU兑换USDC为1:1.03, 而在SeniorPool中的比例为1:1.07，这就产生了套利空间。

## Publication Information

- [zsegs](https://paragraph.com/@zsegs/): Publication homepage
- [All Posts](https://paragraph.com/@zsegs/): More posts from this publication
- [RSS Feed](https://api.paragraph.com/blogs/rss/@zsegs): Subscribe to updates