Щоденні новини Odaily Planet Згідно з моніторингом групи безпеки SlowMist, 10 листопада 2022 року проект brahTOPG у мережі ETH був атакований, і зловмисник отримав прибуток у розмірі приблизно 89 879 доларів США. Команда безпеки SlowMist повідомила наступне у вигляді текстового повідомлення: 1. Зловмисник спочатку запитав баланс користувача-жертви 0x392472, а потім викликав функцію zapIn контракту Zapper. 2. По-перше, функція передасть токен, визначений параметром requiredToken, у контракт, оскільки параметр, переданий цією функцією, можна контролювати ззовні, зловмисник створив параметр, щоб зробити фіктивний токен (тобто атакувати сам контракт) і передати підроблені токени в контракт Zapper. 3. Потім викликається внутрішня функція zap. У цій функції спочатку перевіряється, чи баланс підробленого токена в контракті перевищує або дорівнює переданому значенню другий крок. 4. Пізніше функція підтвердження підробленого токена буде викликана зовні. Ця функція зловмисно створена зловмисником, щоб перенести токени frax у контракт Zapper і внесіть гроші в скарбницю. 5. Нарешті, контракт, визначений параметром swapTarget, викликається зовні (параметром можна керувати зовні), і параметри, передані під час виклику, також можна створити зовні, тому зловмисник використовує будь-яку вразливість зовнішнього виклику, щоб передавати інші авторизовані токен USDC користувача. 6. Зловмисник повторив описані вище кроки, атакуючи загалом три рази, і переказав приблизно 889 343 токенів USDC із трьох облікових записів жертви. Основною причиною цієї атаки є те, що контракт Zapper суворо перевіряє дані, передані користувачем, що призводить до проблеми довільних зовнішніх викликів. Зловмисник використовує цю проблему довільних зовнішніх викликів для викрадення маркерів користувачів, які все ще авторизовані до договору. Команда безпеки SlowMist нагадує користувачам, які використовували цей контракт, швидко скасувати авторизацію контракту, щоб уникнути ризику крадіжки активів.