宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:SUSHI RouteProcessor2 遭受攻击,请及时撤销对其的授权

作者:

时间:1900/1/1 0:00:00

据慢雾安全团队情报,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:

1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。

慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。

慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]

3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。

声音 | 慢雾:Dapp、交易所等攻击事件造成损失已近41亿美金:慢雾数据显示Dapp、交易所等攻击事件造成的损失已达4098587697.68美金,半月增加近3亿美金。据2月28日报道,慢雾区上线“被黑档案库(SlowMist Hacked)”,目前各类攻击事件共造成约 3824082630.12 美金的损失。[2019/3/13]

4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。

幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。

标签:ALLPOOPOOLSWAPWall Street Decentral TokenSuper Mine PoolTokenBetter PoolOKSwap

欧易交易所热门资讯
迸发灵感扩展想象,与 Future Craft 全球 Demo Day 共建新型社区

作者:ZYJLabs 科技是时代发展的主要驱动力,Web3行业是以区块链技术为基础的数字经济领域,它影响着我们的日常生活,Web3行业也成为世界关注的重要议题。每一天,在世界上都有一群敏锐而坚定的人选择进入Web3.

1900/1/1 0:00:00
一文读懂 Lybra Finance:LSD 赛道新稳定币协议

原文作者:Hercules?原文编译:深潮TechFlow在以太坊升级完成后,LSD赛道还有哪些可以参与的新机会和看点?新的稳定币也许是其中之一.

1900/1/1 0:00:00
万事达卡与 Solana、Polygon 合作制定“Crypto Credential”新标准

万事达卡正在与公共区块链开发商AptosLabs、AvaLabs、Polygon和SolanaFoundation合作制定一套新标准,并将其称为CryptoCredential,以努力建立该行业消费者、企业和政府的信任.

1900/1/1 0:00:00
Multicoin Capital 联创:读懂 web3 原生 SQL 项目 Tableland

原文标题:Web3-NativeSQL作者:KyleSamani,MulticoinCapital联合创始人翻译:xiaozou,金色财经继比特币之后的第一波加密创新浪潮中,很多开发人员分叉了比特币代码库.

1900/1/1 0:00:00
HashKey 集团宣布全面升级其虚拟资产场外交易(OTC)业务,并将推出全新的财富管理品牌 HashKey Wealth

作者:HashKey 自成立以来,HashKey一直致力于向专业投资者及金融机构提供合规和安全的资产管理服务.

1900/1/1 0:00:00
区块链艺术首次进驻美术馆,国际艺术家共创 AI 生成感官飨宴

作者:?BTEditor随着NFT不断在各种艺术领域蓬勃发展,利用程式设计或电脑演算法,透过乱数、逻辑规则创作的生成艺术作品逐渐受到更多关注,在NFT艺术领域占据一席重要地位.

1900/1/1 0:00:00