2024年1月30日，MIM_SPELL遭受闪电贷攻击，因为精度计算漏洞，项目方损失650万美元。

SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

一、攻击交易分析

攻击者地址：

0x87F585809Ce79aE39A5fa0C7C96d0d159eb678C9

攻击合约：

0xe1091d17473b049cccd65c54f71677da85b77a45

0x13AF445F81B0DEcA5dCb2Be6A4C691F545c95912

0xe59b54a9e37ab69f6e9312a9b3f72539ee184e5a

被攻击合约：

0x7259e152103756e1616A77Ae982353c3751A6a90

攻击交易：

0x26a83db7e28838dd9fee6fb7314ae58dcc6aee9a20bf224c386ff5e80f7e4cf2

0xdb4616b89ad82062787a4e924d520639791302476484b9a6eca5126f79b6d877

攻击流程：

1. 攻击者（0x87F58580）通过闪电贷借取300000枚MIM代币。
2. 随后向被攻击合约（0x7259e1520）发送了240000枚的MIM代币，用于下一步偿还用户的借款。
3. 攻击者（0x87F58580）随后调用repayForAll函数偿还其他用户的借款，后续又依次调用repay函数偿还其他用户借款，目的是将elastic变量减小为0.
4. elastic变量减小为0后，攻击者（0x87F58580）创建新的攻击合约（0xe59b54a9）并不断的进行borrow和repay函数的调用，直到将elastic =0，base = 120080183810681886665215049728时结束。