据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年4月9日,Sushiswap项目合约遭到攻击,部分授权用户资产已被转移。
根本原因是由于合约的值lastCalledPool重置在校验之前,导致合约中针对pool的检查失效,从而允许攻击者swap时指定恶意pool转出授权用户资金,以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例:
1. 攻击者在约30天前创建了恶意pool合约;
2. 调用SushiSwap的路由函数processRoute进行swap,指定了创建的恶意合约为pool合约;
3. 最后在swap后恶意合约调用uniswapV3SwapCallback,指定tokenIn为WETH,from地址为受害者用户地址(sifuvision.eth),从而利用受害用户对路由合约的授权转移走资金。
建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。
Gate.io - 芝麻交易所,又称芝麻开门交易所,是原比特儿交易所国际版本,是全球第二大交易所 支持人民币OTC交易 让财富更自由一点
文章采集自互联网,本站不对其真实性负责,如需删除,请发送链接至oem1012@qq.com
发表评论
电子邮件地址不会被公开。 必填项已用*标注
文章评论已关闭!