月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 中币下载 > 正文

USD:慢雾:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权_AIN

作者:

时间:1900/1/1 0:00:00

据慢雾安全团队情报,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:

1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。

慢雾:从Multichain流出的资金总额高达2.65亿美元,分布在9条链:金色财经报道,自7月7日以来,从 Multichain 流出的资金总额高达 2.65 亿美元,分布在 Ethereum、BNB Chain、Polygon、Avalanche、Arbitrum、Optimism、Fantom、Cronos、Moonbeam 链。其中 6582 万美元已经被 Circle 和 Tether 冻结,1,296,990.99 ICE(约 162 万美元) 被 Token 发行方 Burn。流出的资金中,包括:

1)从 Multichain: Old BSC Bridge 转出的 USDT;

2)从 Multichain: Fantom Bridge 转出的 USDC、DAI、LINK、UNIDX、USDT、WOO、ICE、CRV、YFI、TUSD、WETH、WBTC;

3)从 Anyswap: Bridge Fantom 转出的 BIFI;

4)从 Multichain: Moonriver Bridge 转出的 USDC、USDT、DAI、WBTC;

5)从 MultiChain: Doge Bridge 转出的 USDC;

6)从 Multichain: Executor 转出的 DAI、USDC、BTCB、WBTC、WETH、Dai.e、WBTC.e、Bridged USDC、BTC、fUSDT、ETH 等;

7)从被 Etherscan 标记为 Fake_Phishing183873 的 0xe1910...49c53 转出的 WBTC、USDT、ETH,同时我们认为该标记(Fake Phishing183873)或许是 Etherscan 上的虚假标记,地址可能以前属于 Multichain 官方账户。[2023/7/11 10:48:30]

2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。

慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。

据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]

3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。

慢雾: 警惕比特币RBF风险:据BitMEX消息,比特币于区块高度666833出现陈腐区块,并产生了一笔 0.00062063 BTC 的双花交易。根据 BitMEX提供的交易内容来看,双花的两笔交易的nSequence字段的值都小于0xffffffff -1。慢雾安全团队初步认为此次双花交易有可能是比特币中的RBF交易。[2021/1/20 16:38:01]

4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。

幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。

标签:USDPOOLAINPOOStable USDStarterpoolfreyrchainCPOO价格

中币下载热门资讯
WEB:香港 WEB3 大会前夜启航,Cocos-BCX 游轮盛宴带你夜游维港_COCO币

作者:Odaily星球日报活动介绍4月11日,?Cocos-BCX将于香港红磡南码头东方之珠号游轮举办主题为NewExpeditionCOCOS-BCXNIGHT的活动.

1900/1/1 0:00:00
GMX:GMX 社区提议将协议费用收入的 1.2% 分配给 Chainlink_AIN

去中心化衍生品交易所GMX社区发起关于将1.2%的费用收入分配给Chainlink以使用其新预言机服务的提案.

1900/1/1 0:00:00
UNI:Uniswap 社区就“商业源代码许可证过期后跨链部署和新子域名创建”提案进行温度检查投票_ETHPAD

Uniswap社区正就“商业源代码许可证过期后跨链部署和新uniswap.eth子域名创建”提案进行温度检查投票,目前该提案支持率为100%,投票将于4月14日截止.

1900/1/1 0:00:00
THE:深入理解 Synthetix V3:功能、优势和未来计划_Synthetix

原文标题:《WhatisSynthetixV3?》作者:MattLosquadro,Synthetix?编译:Kxp,BlockBeatsSynthetixV3代表了该协议的一个重要里程碑.

1900/1/1 0:00:00
RWA:IOBC Capital:为何说 RWA 是 DeFi 的下一个引擎?_makerdao下载

作者:0xCousin,IOBCCapital代币化的现实世界资产可能是DeFi的下一个引擎。什么是RWA?RWA,RealWorldAsset,真实世界资产.

1900/1/1 0:00:00
FIL:FVM 如何全方位解锁 Filecoin 创新用例?_OIN

来源:Siddarth,IOSGVentures什么是FVM,为什么需要它?ProtocolLabs提到了他们去中心化互联网的三个阶段计划:1.建立世界上最大的去中心化存储网络.

1900/1/1 0:00:00