Scopescan：Unibot用户应检查并取消授权0x126开头合约，将资金转移到新钱包

金色财经报道，跨链基础设施 Magpie Protocol 发文称合约存在漏洞，督促曾对授权过其合约且钱包内仍持有资金的用户尽快取消各条链上的相关合约授权。

10月31日消息，Scopescan于X平台发文表示，出现了新的Unibot攻击者，部署了与此前攻击者相同的合约，正在盗取用户资金。

金色财经报道，据慢雾创始人余弦发推称，最近有朋友相关资产被“莫名其妙”盗走。检查下你是否在BSC上有授权资产给0x75117开头的恶意合约地址。用RevokeCash或Rabby_io都可以快速做异常授权检查及取消。该恶意合约没开源验证，但反编译可以很容易分析出存在针对授权资产的任意转移后门。 该后门有个现象是你的钱包过去很长时间可能都正常使用，有一天你转入稍微大额的资产（如USDT），突然就被盗走了。链上近期也看不到任何奇怪的授权，最终才发现原来是一年多前自己莫名其妙给这个恶意合约做过授权（如USDT）；恶意合约其实是作恶者放的那条长线，随便一个脚本都可以监控着这条长线的状态，一旦有大鱼上钩，立即就可以下手。 与恶意合约有关的相关黑地址：0xE2A1......Bb7dD、0xB884......64c7e。

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日， Sushiswap项目遭到攻击，部分授权用户资产已被转移。 根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例： 1.攻击者在约30天前创建了恶意pool合约 2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约 3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。 建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。

10月28日消息，浏览器安全插件 Pocket Universe 发推称，Opensea 旧合约上发现一个新漏洞，可用于窃取用户的 NFT，一旦签署交易就可能被清空钱包。它可以盗取用户在 2022 年 5 月之前在 Opensea 上列出的任何 NFT（也即 Seaport 升级之前），主要涉及 Wyvern 协议，它授予了代理合约撤回用户 NFT 的权利，而这个新的漏洞利用会诱使用户签署交易，让攻击者拥有用户的代理合约的所有权。

金色财经报道，据慢雾安全团队情报,2022年10月11号,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Addresslibrary中的functionCallWith Value函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。 截止目前，Rabby Swap事件黑客已经获利超19万美元，资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB，使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、TraderJoe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。