宇宙链 宇宙链
Ctrl+D收藏宇宙链

慢雾:Rubic 协议错将 USDC 添至 Router 白名单,致授权合约用户 USDC 遭窃取

作者:

时间:1900/1/1 0:00:00

据慢雾安全团队情报,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC被窃取。慢雾安全团队以简讯的形式分享如下:

1.Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行NativeToken兑换。在进行兑换前,会先检查用户传入的所需调用的目标Router是否在协议的白名单中。

慢雾:警惕Web3钱包WalletConnect钓鱼风险:金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。

慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。[2023/4/17 14:08:53]

2.经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。

慢雾:PAID Network攻击者直接调用mint函数铸币:慢雾科技发文对于PAID Network遭攻击事件进行分析。文章中指出,在对未开源合约进行在反编译后发现合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。慢雾科技分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。

此前报道,PAID Network今天0点左右遭到攻击,增发将近6000万枚PAID代币,按照当时的价格约为1.6亿美元,黑客从中获利2000ETH。[2021/3/6 18:21:08]

3.不幸的是USDC也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC。

动态 | 慢雾:2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测:世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘,通过对其三个传播版本的行为分析,其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年仅发生一次,另外一个 2020 还在活跃,2020 开始已经勒索收到 8 笔比特币支付,但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12,总收益比特币 54.43334953 枚。虽然收益很少,但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫,其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞,其成功的全球影响力且匿名性为之后的一系列勒索蠕虫(如 GandCrab)带来了巨大促进。[2020/2/23]

4.恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC被窃取。(来源链接)

标签:BICUBIRubicRUBBICRANUBI TokenRubidium

酷币交易所热门资讯
加密资管公司 Valkyrie Investments 提议成为 GBTC 管理人

加密资产管理公司ValkyrieInvestments提议成为GrayscaleBitcoinTrust的发起方和管理人.

1900/1/1 0:00:00
FTX 破产案中唯一独善其身之人,Alameda 前联席 CEO Sam 为何急流勇退

原文标题:《MeetSamTrabucco,theAlamedaexecwhooversawthedevelopmentofthecryptohedgefund'sultra-riskytradingstrategies》作者:Mo.

1900/1/1 0:00:00
律师解读三箭资本创始人再次创业:交易 FTX 债权的 “新 FTX”?

撰文:@wassielawyer编译:GaryMa,吴说区块链三箭资本创始人ZhuSu和KyleDavis以及CoinFlex的两位创始人推出了一个新项目GTX,该项目正在筹集2500万美元的种子基金.

1900/1/1 0:00:00
对话 UniPass:如何为普通用户打开 Web3 的大门?

原文标题:《BinaryTalks|对话UniPass,为普通用户打开Web3的大门》本期策划:Kylo,BinaryDAO本期主持:JennyHuang.

1900/1/1 0:00:00
盘点 2022 年 Web3 营销界有趣的玩法

作者:CM,加密绿洲 在Web3,创新永远是最好的营销。尤其是在当下阶段,朦胧混沌,只是部分领域初现峥嵘。创新的维度有很多,有技术逻辑、产品设计、营销玩法等.

1900/1/1 0:00:00
SBF:2021 年期间 Alameda 有1000 亿美元资产净值,FTX US 可偿付所有客户资金

SBF在最新的博客文章中提到,11月中旬,FTXInternational实际资不抵债。三件事结合在一起导致了内爆:SBF:FTX仍有约10亿美元现金可用于在场外收购陷入困境的加密公司:金色财经报道,在最近接受CNBC财经节目《Squ.

1900/1/1 0:00:00