宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 瑞波币 > 正文

慢雾:Rubic 协议错误地将 USDC 添加进 Router 白名单,致授权给 RubicProxy 合约的用户的 USDC 被窃取

作者:

时间:1900/1/1 0:00:00

ForesightNews消息,据慢雾安全团队情报,2022年12月25日,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC代币被窃取。慢雾安全团队以简讯的形式分享如下:1.Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native代币兑换。在进行兑换前,会先检查用户传入的所需调用的目标Router是否在协议的白名单中。2.经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。3.但不幸的是USDC代币也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC代币。4.因此恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC代币通过transferFrom接口转移至恶意用户账户中。此次攻击的根本原因在于Rubic协议错误的将USDC代币添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC代币被窃取。

慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]

慢雾:Spartan Protocol被黑简析:据慢雾区情报,币安智能链项目 Spartan Protocol 被黑,损失金额约 3000 万美元,慢雾安全团队第一时间介入分析,并以简讯的形式分享给大家参考:

1. 攻击者通过闪电贷先从 PancakeSwap 中借出 WBNB;

2. 在 WBNB-SPT1 的池子中,先使用借来的一部分 WBNB 不断的通过 swap 兑换成 SPT1,导致兑换池中产生巨大滑点;

3. 攻击者将持有的 WBNB 与 SPT1 向 WBNB-SPT1 池子添加流动性获得 LP 凭证,但是在添加流动性的时候存在一个滑点修正机制,在添加流动性时将对池的滑点进行修正,但没有限制最高可修正的滑点大小,此时添加流动性,由于滑点修正机制,获得的 LP 数量并不是一个正常的值;

4. 随后继续进行 swap 操作将 WBNB 兑换成 SPT1,此时池子中的 WBNB 增多 SPT1 减少;

5. swap 之后攻击者将持有的 WBNB 和 SPT1 都转移给 WBNB-SPT1 池子,然后进行移除流动性操作;

6. 在移除流动性时会通过池子中实时的代币数量来计算用户的 LP 可获得多少对应的代币,由于步骤 5,此时会获得比添加流动性时更多的代币;

7. 在移除流动性之后会更新池子中的 baseAmount 与 tokenAmount,由于移除流动性时没有和添加流动性一样存在滑点修正机制,移除流动性后两种代币的数量和合约记录的代币数量会存在一定的差值;

8. 因此在与实际有差值的情况下还能再次添加流动性获得 LP,此后攻击者只要再次移除流动性就能再次获得对应的两种代币;

9. 之后攻击者只需再将 SPT1 代币兑换成 WBNB,最后即可获得更多的 WBNB。详情见原文链接。[2021/5/2 21:17:59]

慢雾:Polkatrain 薅羊毛事故简析:据慢雾区消息,波卡生态IDO平台Polkatrain于今早发生事故,慢雾安全团队第一时间介入分析,并定位到了具体问题。本次出现问题的合约为Polkatrain项目的POLT_LBP合约,该合约有一个swap函数,并存在一个返佣机制,当用户通过swap函数购买PLOT代币的时候获得一定量的返佣,该笔返佣会通过合约里的_update函数调用transferFrom的形式转发送给用户。由于_update函数没有设置一个池子的最多的返佣数量,也未在返佣的时候判断总返佣金是否用完了,导致恶意的套利者可通过不断调用swap函数进行代币兑换来薅取合约的返佣奖励。慢雾安全团队提醒DApp项目方在设计AMM兑换机制的时候需充分考虑项目的业务场景及其经济模型,防止意外情况发生。[2021/4/5 19:46:39]

标签:BNBWBNBSPTRubicbnb是什么游戏WBNB币SPT价

瑞波币热门资讯
金色晚报 | 12月26日晚间重要动态一览

12:00-21:00关键词:Nexo、BitKeep、Sushi、以太坊1.加密借贷平台Nexo已终止对其竞争对手Vauld的潜在收购;2.以太坊已启动ETH提款测试网;3.

1900/1/1 0:00:00
Gate.io关于下架FastSwap (FAST)的公告

根据社区要求,Gate.io将于2022年12月26日14:00下架FastSwap(FAST)交易市场,包括现货交易,量化网格,流动性挖矿。下架交易之后Gate.io将继续为用户提供为期3个月的提现服务.

1900/1/1 0:00:00
关于CoinW系统升级维护的通知

尊敬CoinW用户 为了给大家带来更好的体验,CoinW将于12月26日19:30进行系统维护升级,预计维护时间为1小时,维护升级期间现货交易和划转功能将暂停服务,系统升级维护完成后将同步开启交易和划转功能,不再另行通知.

1900/1/1 0:00:00
關於幣安CMC加密貨幣前十等權重指數每月調倉的通知(2022-12-28)

親愛的用戶:幣安CMC加密貨幣前十等權重指數下一次的每月調倉將於2022年12月30日16:00進行。有關新權重指數成分股概覽,請參閱下表.

1900/1/1 0:00:00
美SEC拟要求收回FTX对Mysten Labs和Dave的两笔1亿美元风险投资

12月29日消息,据美国证券交易委员会透露,FTX和SBF涉嫌通过旗下子公司使用客户资金进行了两笔1亿美元的投资,分别是今年三月对金融科技公司Dave的1亿美元投资和今年九月对Web3公司MystenLabs的1亿美元投资.

1900/1/1 0:00:00
一文盘点值得关注的60个未发币项目

原文作者:@thehiddenmaze 原文编译:Kyle 忽略这篇文章可能会使您错失1,?000,?000美元。 为什么? 本文列出了60个新的第0/1/2层区块链,其中一些有潜力在下一次牛市中增长20倍、?50倍甚至100倍.

1900/1/1 0:00:00