Odaily Planet Daily News Conform monitorizării echipei de securitate SlowMist, pe 10 noiembrie 2022, proiectul brahTOPG pe lanțul ETH a fost atacat, iar atacatorul a realizat un profit de aproximativ 89.879 USD. Echipa de securitate SlowMist a împărtășit următoarele sub forma unui mesaj text: 1. Atacatorul a întrebat mai întâi soldul utilizatorului victimă 0x392472, apoi a apelat funcția zapIn a contractului Zapper. 2. În primul rând, funcția va transfera token-ul specificat de parametrul requiredToken în contract Deoarece parametrul transmis de această funcție este controlabil din exterior, atacatorul a construit în mod rău intenționat parametrul pentru a face din tokenul necesar un token fals (adică, atacă. contractul în sine) și Transferați jetoane false în contractul Zapper. 3. Apoi se apelează funcția internă zap În această funcție, se verifică mai întâi dacă soldul jetonului fals din contract este mai mare sau egal cu valoarea transmisă al doilea pas. 4. Mai târziu, funcția de aprobare a contractului de token fals va fi apelată din exterior. Această funcție este construită în mod rău intenționat de către atacator pentru a transfera jetoane de frax în contractul Zapper și ai succes. Depuneți bani în trezorerie. 5. În cele din urmă, contractul specificat de parametrul swapTarget este apelat extern (acest parametru este controlabil extern), iar parametrii trecuți în apel sunt, de asemenea, construibili extern, astfel încât atacatorul exploatează aici orice vulnerabilitate de apel extern pentru a-i transfera pe alții autorizați jetonul USDC al utilizatorului. 6. Atacatorul a repetat pașii de mai sus, atacând de trei ori în total și a transferat aproximativ 889.343 de jetoane USDC din cele trei conturi de victimă. Motivul principal al acestui atac este că contractul Zapper verifică cu strictețe datele transmise de utilizator, ceea ce duce la problema apelurilor externe arbitrare Atacatorul folosește această problemă a apelurilor externe arbitrare pentru a fura jetoanele utilizatorilor care sunt încă autorizați la contract. Echipa de securitate SlowMist reamintește utilizatorilor care au folosit acest contract să anuleze rapid autorizarea contractului pentru a evita riscul furtului de bunuri.