關鍵點:
總共損失超過 140 萬美元。
攻擊者使用 Tornado Cash 混合協定發送了 1,100 ETH。
根據 PeckShield 報道,Rubic 交易所遭到駭客攻擊,造成 140 萬美元損失。攻擊者目前已向 Tornado Cash 發送 1100 ETH。
Rubic是一個跨鏈DEX聚合器。使用者可以透過 RubicProxy 合約的 routerCallNative 函數交換原生代幣。在兌換之前,它會先檢查使用者撥打的所需呼叫的目標路由器是否在協議的白名單中。
根據PeckShield監測,多鏈交換協定被駭客攻擊,造成損失超過140萬美元。攻擊者向 Tornado Cash 混合協定發送了 1,100 ETH。
慢霧安全團隊對被盜過程進行分析後得出結論,此次攻擊的主要原因是協議錯誤地將USDC代幣添加到了路由器白名單中,導致允許使用RubicProxy合約的用戶的USDC代幣被盜。
只有在白名單檢查後才會呼叫使用者提供的目標Router,而且呼叫資料也將由使用者提供。不幸的是,USDC 代幣也已被放入 Rubic 協議的路由器白名單中,允許任何用戶使用 RubicProxy 合約隨機呼叫 USDC 代幣。
因此,惡意用戶透過使用 routerCallNative 函數呼叫 USDC 合約並透過 TransferFrom 介面將 USDC 代幣從允許使用 RubicProxy 合約的用戶轉移到惡意用戶的帳戶來利用此問題。
免責聲明:本網站上的資訊是作為一般市場評論提供,並不構成投資建議。我們鼓勵您在投資之前進行自己的研究。
加入我們以追蹤新聞:https://linktr.ee/coincu
網址:coincu.com
丘比
科因庫新聞
