Ключові моменти:
Загалом було втрачено понад 1,4 мільйона доларів.
Зловмисник використовував протокол змішування Tornado Cash, щоб надіслати 1100 ETH.
Як повідомляв PeckShield, біржу Rubic було зламано, що призвело до збитків у розмірі 1,4 мільйона доларів. Зараз зловмисник відправив 1100 ETH на Tornado Cash.
Rubic — це міжланцюговий агрегатор DEX. Користувачі можуть обмінюватися рідними токенами за допомогою функції routerCallNative контракту RubicProxy. Перед погашенням він спочатку перевірить, чи є цільовий маршрутизатор необхідного виклику, здійсненого користувачем, у білому списку протоколу.
Згідно з моніторингом PeckShield, багатоланцюговий протокол обміну було зламано, що призвело до збитків на суму понад 1,4 мільйона доларів США. Зловмисник відправив 1100 ETH на протокол змішування Tornado Cash.
Проаналізувавши викрадений процес, команда безпеки SlowMist дійшла висновку, що основною причиною атаки було те, що протокол неправильно додав токени USDC до білого списку маршрутизатора, що призвело до викрадення токенів USDC у користувачів, які мають доступ до контракту RubicProxy.
Наданий користувачем цільовий маршрутизатор буде викликаний лише після перевірки білого списку, і дані виклику також будуть надані користувачем. На жаль, монети USDC також були розміщені в білому списку маршрутизаторів протоколу Rubic, що дозволяє будь-якому користувачеві викликати токени USDC випадковим чином за допомогою контракту RubicProxy.
У результаті зловмисники використовують цю проблему, викликаючи контракт USDC за допомогою функції routerCallNative і передаючи токени USDC від користувачів, яким дозволено контракт RubicProxy, до облікового запису зловмисника через інтерфейс transferFrom.
ВІДМОВА ВІД ВІДПОВІДАЛЬНОСТІ: Інформація на цьому веб-сайті надається як загальний ринковий коментар і не є інвестиційною порадою. Ми радимо вам провести власне дослідження, перш ніж інвестувати.
Приєднуйтесь до нас, щоб стежити за новинами: https://linktr.ee/coincu
Веб-сайт: coincu.com
Чуббі
Новини Coincu
