关键点:
总共损失超过 140 万美元。
攻击者使用 Tornado Cash 混合协定发送了 1,100 ETH。
根据 PeckShield 报道,Rubic 交易所遭到骇客攻击,造成 140 万美元损失。攻击者目前已向 Tornado Cash 发送 1100 ETH。
Rubic是一个跨链DEX聚合器。使用者可以透过 RubicProxy 合约的 routerCallNative 函数交换原生代币。在兑换之前,它会先检查使用者拨打的所需呼叫的目标路由器是否在协议的白名单中。
根据PeckShield监测,多链交换协定被骇客攻击,造成损失超过140万美元。攻击者向 Tornado Cash 混合协定发送了 1,100 ETH。
慢雾安全团队对被盗过程进行分析后得出结论,此次攻击的主要原因是协议错误地将USDC代币添加到了路由器白名单中,导致允许使用RubicProxy合约的用户的USDC代币被盗。
只有在白名单检查后才会呼叫使用者提供的目标Router,而且呼叫资料也将由使用者提供。不幸的是,USDC 代币也已被放入 Rubic 协议的路由器白名单中,允许任何用户使用 RubicProxy 合约随机呼叫 USDC 代币。
因此,恶意用户透过使用 routerCallNative 函数呼叫 USDC 合约并透过 TransferFrom 介面将 USDC 代币从允许使用 RubicProxy 合约的用户转移到恶意用户的帐户来利用此问题。
免责声明:本网站上的资讯是作为一般市场评论提供,并不构成投资建议。我们鼓励您在投资之前进行自己的研究。
加入我们以追踪新闻:https://linktr.ee/coincu
网址:coincu.com
丘比
科因库新闻
