月亮链 月亮链
Ctrl+D收藏月亮链
首页 > 火星币 > 正文

SWAP:安全团队:建议用户取消不同链上Sushiswap RouteProcessor2合约的授权_POOL

作者:

时间:1900/1/1 0:00:00

金色财经报道,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,2023年4月9日,Sushiswap项目遭到攻击,部分授权用户资产已被转移。根本原因是由于合约的值lastCalledPool重置在校验之前,导致合约中针对pool的检查失效,从而允许攻击者swap时指定恶意pool转出授权用户资金,以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例:1.攻击者在约30天前创建了恶意pool合约2.调用SushiSwap的路由函数processRoute进行swap,指定了创建的恶意合约为pool合约3.最后在swap后恶意合约调用uniswapV3SwapCallback,指定tokenIn为WETH,from地址为受害者用户地址(sifuvision.eth),从而利用受害用户对路由合约的授权转移走资金。建议用户取消不同链上SushiswapRouteProcessor2合约的授权。

安全团队:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权:金色财经报道,据慢雾安全团队情报,2023年4月9日,SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下:

1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查,导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。

2. 由于在合约中并未对 Pool 是否合法进行检查,直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。

3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数,由于 lastCalledPool 变量已被设置为 Pool,因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。

4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数,以窃取其他已对 RouteProcessor2 授权的用户的代币。

幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。[2023/4/9 13:53:21]

安全团队:孙宇晨地址将1200万枚TUSD转移至币安:金色财经报道,据派盾(PeckShield)监测,标记为孙宇晨的地址已将1200万枚TUSD转移至币安。[2022/10/17 17:28:56]

安全团队:ANCHStakePool项目遭受价格操纵攻击:8月5日,来自成都链安社区成员情报显示,ANCHStakePool项目遭受价格操纵攻击。成都链安安全团队分析发现:攻击者先通过闪电贷从LP池中贷出大量USDT,提高了USDT价格。由于奖励代币数量与USDT价格正相关,导致奖励代币的发放数量远远超过正常值,攻击者能够获取到更多的ANCH奖励代币。本次攻击者共获利106,931个USDT,截至目前,攻击者将获利的37,872.53个USDT转换为120个BNB并转入Tornado.Cash,剩下的69,058.47个USDT仍存于攻击者地址(0x1fb3572e71c48b7c5c9dcb656d545bc29bb92dda)上。后续成都链安链必追-虚拟货币案件智能研判平台将持续对此地址进行监控和追踪。[2022/8/5 12:05:18]

标签:SWAPPOOPOOLOUTethereumuniswapSpook InuLP 3pool CurveROUTE

火星币热门资讯
BIT:BitVenus合约:计划委托_Venus

尊敬的BitVenus用户:BitVenus合约关于计划委托:用户预先设置触发条件及其执行价格和数量,当最新成交价或标记价格达到触发条件时,系统将按提前设置好的执行方式并以填写的数量进行下单.

1900/1/1 0:00:00
COM:XT.COM關於恢復MOM提現的公告_wstUSDT

尊敬的XT.COM用戶:XT.COM現已恢復MOM提現業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2023年04月10日https://www.xt.com.

1900/1/1 0:00:00
ETH:链上数据表明以太坊(ETH)停滞在2,000美元以下的原因_South African Tether

简单来说以太坊价格在过去一周一直保持在1,800美元至1,900美元的范围内。鲸鱼活动的减少和持平的外汇余额表明ETH交易员的忧郁情绪。ETH可能难以突破2,000美元的阻力位.

1900/1/1 0:00:00
KAK:Kakao银行:若发现Coinone存在非法行为,将终止向其提供银行账户_AKA

4月10日消息,向韩国加密交易所Coinone提供韩元银行账户的Kakao银行表示:“根据《特别金融法》,我们正在对加密交易所进行定期尽职调查和数据请求,如果发生了非法犯罪行为.

1900/1/1 0:00:00
比特币:历史重演,我们在牛市早期?做单机会在哪?_MAG

?昨日晚间非农数据公布影响甚微,主要还是受美股休市牵联,加之美联储放话押注五月加息上升,大饼和以太多头惨遭打压难以重回高位,但对目前盘面带来的影响并不大,只是雷声大雨点小罢了,行情总算有所好转.

1900/1/1 0:00:00
SHA:Shardeum 生态与募资主管 Greg Hemmer:去中心化协议愈发繁荣,实现可扩展性至关重要_FOR

ForesightNews消息,由ForesightVentures与ForesightNews联合主办的「FORESIGHT2023」年度峰会上.

1900/1/1 0:00:00