慢雾:Rubic协议错将USDC添至Router白名单导致已授权合约用户USDC遭窃取

2022-12-25 23:53:51

12月25日消息,据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队分享如下:1. Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。 2. 经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。 3. 不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。 4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。 此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
20:35
GoPlus与慢雾提出合约可限时授权EIP提案以降低遗留授权导致的被盗风险
10月6日消息,安全机构GoPlus与慢雾提出可限时授权的EIP标准,以降低遗留授权导致的被盗风险。标准中提到,包括TransitSwap事件在内,反复发生的资产盗窃是由于用户对合约的过度授权造成的,如果合约出错,所有没有召回授权的用户都会受到攻击。 GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv,以在默认时间段内自动撤回授权,或者使用自定义的时间限制来召回授权并及时避免风险,并提交了一份新的EIP,目前正在由以太坊研究部门审查。
21:20
慢雾安全提醒:Rabby钱包项目Swap合约存在外部调用风险, 请迅速取消授权
金色财经报道,据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前,Rabby Swap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。
20:19
慢雾:已冻结部分BitKeep黑客转移资金
12月26日消息,慢雾安全团队在社交媒体上发文表示,正在对 BitKeep 钱包进行深入调查,并已冻结部分黑客转移资金。
13:34
慢雾余弦:有诈骗者通过可升级的DEX路由器窃取用户空投的ARB
金色财经报道,慢雾创始人余弦发推称:“昨晚到现在我们收到不少人的反馈,难得拿到的ARB,被盗了。这是其中一个原因:骗子构建了一个可升级的DEX路由器,通过早期的宣传引诱用户批准该路由器进行代币交换,当用户申请ARB空投并将其交换为批准的代币时,路由器所有者通过合同升级窃取用户之前批准的代币。”
09:30
慢雾余弦:黑客通过Seaport协议match Advanced Orders函数售卖窃取NFT可绕过OpeSea安全策略
1月23日消息,慢雾科技创始人余弦在社交媒体上发文表示,被OpenSea标记拉黑的 NFT,黑客可以通过 OpenSea Seaport 协议的 matchAdvancedOrders 函数完成售卖。这样就绕过了 OpenSea 的安全策略(拉黑不可售卖),不过这里需要有买家 bid 了 offer。 此前 BAYC 第 6 大持有者 Franklin 在社交媒体上发文表示一周内两次有人使用matchAdvancedOrders」功能向其出售被标记为可疑活动审查中(黄色标记)的窃取 BAYC NFT。
11:09
慢雾:pGALA合约黑客已获利430万美元
11月4日消息,安全团队慢雾在推特上表示,pGALA合约黑客已将大部分GALA兑换成13,000枚BNB,获利超430万美元,该地址仍有450亿枚Gala,但不太可能兑现,因为资金池基本已耗尽。此外,黑客的初始资金来自几个币安账户。 此外,推特用户@yonghaochen168表示,此事件发生后交易所只有火币可以充值且秒到,致使大量增发代币充值到火币进行抛售,目前火币已关闭充值。火币上Gala价格曾于今日6时左右跌至0.0003的低点,24小时跌幅超99%;现已回升至0.005美元上方,跌幅缩窄至87%。 今日早些时候消息,一个BNB Chain上地址在BNB Chain上地址凭空铸造了超10亿美元的pGALA代币,并通过在PancakeSwap上售出获利。pNetwork表示此为跨链桥配置错误所致,GALA跨链桥已暂停,请用户不要在BNB Chain上DEX中交易pGALA。
Copyright © 2018-2022 211COIN版权所有.