Odaily Planet Daily News Selon la surveillance de l'équipe de sécurité SlowMist, le 10 novembre 2022, le projet brahTOPG sur la chaîne ETH a été attaqué et l'attaquant a réalisé un bénéfice d'environ 89 879 $ US. L'équipe de sécurité de SlowMist a partagé ce qui suit sous la forme d'un message texte : 1. L'attaquant a d'abord interrogé le solde de l'utilisateur victime 0x392472, puis a appelé la fonction zapIn du contrat Zapper. 2. Tout d'abord, la fonction transférera le jeton spécifié par le paramètre requisToken au contrat. Étant donné que les paramètres transmis par cette fonction sont contrôlables de l'extérieur, l'attaquant a construit de manière malveillante le paramètre pour faire du requisToken un faux jeton (c'est-à-dire attaquer le jeton requis. contrat lui-même) et transférer de faux jetons vers le contrat Zapper. 3. Ensuite, la fonction interne zap est appelée. Dans cette fonction, on vérifie d'abord si le solde du faux jeton dans le contrat est supérieur ou égal à la valeur transmise. Ce contrôle est réussi en raison de l'opération dans le contrat. deuxième étape. 4. La fonction d'approbation du faux contrat de jeton sera appelée en externe. Cette fonction est construite de manière malveillante par l'attaquant pour transférer les jetons Frax vers le contrat Zapper. Cette opération consiste à passer la vérification du solde du jeton Frax dans le contrat suivant et à être obtenue. réussi. Déposer de l’argent dans le trésor. 5. Enfin, le contrat spécifié par le paramètre swapTarget est appelé en externe (le paramètre est contrôlable en externe), et les paramètres passés dans l'appel sont également constructibles en externe, de sorte que l'attaquant exploite ici toute vulnérabilité d'appel externe pour en transférer d'autres autorisées. le jeton USDC de l'utilisateur. 6. L'attaquant a répété les étapes ci-dessus, en attaquant trois fois au total, et a transféré environ 889 343 jetons USDC depuis les trois comptes des victimes. La principale raison de cette attaque est que le contrat Zapper vérifie strictement les données transmises par l'utilisateur, ce qui conduit au problème des appels externes arbitraires. L'attaquant utilise ce problème d'appels externes arbitraires pour voler les jetons des utilisateurs encore autorisés. au contrat. L'équipe de sécurité de SlowMist rappelle aux utilisateurs ayant utilisé ce contrat d'annuler rapidement l'autorisation du contrat pour éviter tout risque de vol d'actifs.