北京时间2022年9月5日，CertiK审计团队监测到Daoswap由于挖矿奖励大于交换过程中收取的费用以及缺乏验证，允许用户将邀请者地址设置为自己，在一次攻击中损失了58万USDT。 攻击步骤 ① 攻击者合约从12个地址中共闪电贷到了218万美元。 ② 攻击者合约使用DAORouter将所有闪电贷到的USDT交换为DAO代币。在交换过程中，攻击者合约以两种方式从SwapToEarn获得DAO代币作为奖励： a. 代币奖励：这是为换取代币的用户准备的。 b. 邀请者奖励：攻击者在调用函数时可以任意设置一个“邀请者”地址，相当于推荐人也可以获取奖励。在这种情况下，攻击者合约将邀请者地址设置为自己。