据慢雾安全团队情报分析,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:
1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。
SushiSwap计划将V3快速部署到近30个区块链:4月7日消息,SushiSwap主厨Jared Gray表示,SushiSwap计划将V3快速部署到近30个区块链。根据DefiLlama的说法,SushiSwap V3是Uniswap V3的三个早期分支之一,另外两个是BNB链和以太坊上PancakeSwap V3,以及Metis上的Maia V3。[2023/4/8 13:50:57]
2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。
Sushiswap:已拿到13万UNI代币:据Sushiswap官方消息,他们已拿到超过138269.83枚UNI代币,Sushiswap(寿司)在推特上表示:感谢Uniswap提供的13万UNI代币,按照目前的市场价格,这笔钱可以为Sushiswap开发团队提供几个月的资金支持!感谢所有“寿司”爱好者。[2020/9/17]
3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。
SushiSwap创始人删除与Coinbase上币负责人间私信的相关推文:金色财经报道,SushiSwap创始人Chef Nomi今天早些时候在推特透露了与Coinbase上币负责人Zach Segal的私信截图。截图显示,Coinbase上币负责人询问Chef Nomi如何与其团队联系沟通,是通过邮件还是推特私信。Chef Nomi还表示,他从未要求任何交易所列出SUSHI。但在15分钟后,他删除了这条推文。目前人们都在猜测SUSHI是否会在Coinbase列出。[2020/9/3]
4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。
幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。
今日早些时候报道,SushiSwap项目疑似被攻击,损失约334万美元。
香港特首李家超在香港Web3.0协会成立典礼发表致辞时表示,希望协会与政府合作,为香港的创科及金融发展提速,在吸引人才和企业方面提量,更多顶尖单位来港大展拳脚.
推特用户@Rancune_eth发推文称,ShibaInu推出的基于以太坊的Layer2网络Shibarium涉嫌抄袭Rinia,且团队并未更改链ID.
可视化分析工具MetaSleuth发推称,SushiSwapRouteProcessor2合约攻击事件导致0xsifu损失1800枚ETH。第一个攻击者已归还90枚ETH.
拉美头部合规加密交易平台TruBit与电子支付巨头MercadoPago正式宣布其战略合作关系.
BlockworksResearch在社交媒体公开反对Arbitrum改进提案AIP-1,同时表示致力于改进DAO治理和透明度,而AIP-1意味着当前社区治理状态的倒退.
据Bitcoin.com报道,美国众议院多数党议员TomEmmer周四宣布,他已经向国会重新提出了《区块链监管确定性法案》,该法案确保加密领域的开发商和非托管服务提供商不被视为汇款人.
区块见闻