安全团队：建议用户取消不同链上Sushiswap RouteProcessor2合约的授权

金色财经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日，Sushiswap项目遭到攻击，部分授权用户资产已被转移。根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例：1.攻击者在约30天前创建了恶意pool合约2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。建议用户取消不同链上SushiswapRouteProcessor2合约的授权。

安全团队：The Sandbox Instagram账号被入侵:金色财经消息，据派盾（PeckShield）监测，The Sandbox Instagram账号被入侵，thesandboxesgame[.]com是钓鱼网站，攻击者地址为0x645daA...c96C。用户不要点击任何链接。[2022/9/8 13:16:27]

安全团队：检测到y00ts[.]gift是一个钓鱼网站:9月5日消息，据派盾（PeckShield）监测，y00ts[.]gift是一个钓鱼网站，用户不要和任何链接互动。此前y00tlist在推特表示，项目在发售前出现bug，发售或推迟24小时。团队将在解决问题后发布公告。[2022/9/5 13:09:28]

安全团队：7月同一团队已进行至少7次针对Discord的攻击，盗取超200枚NFT:7月11日消息，据CertiK统计，仅在7月份就发现了至少7次针对Discord的攻击，背后都是同一个钓鱼网站。仅此个人/团队就盗取了超过200枚NFT。请用户注意防范。[2022/7/11 2:04:59]

标签：SWAPPOOLSHIPOOBlockSwap NetworkPOOLXSHIWBAWITCH TOKENPoorQUACK.com

UNI热门资讯