POO:安全团队：建议用户取消不同链上Sushiswap RouteProcessor2合约的授权_POOL

金色财经报道，据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日，Sushiswap项目遭到攻击，部分授权用户资产已被转移。根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例：1.攻击者在约30天前创建了恶意pool合约2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。建议用户取消不同链上SushiswapRouteProcessor2合约的授权。

标签：SWAPPOOPOOLSUSHIHiswap TokenPOOF价格POOLX价格XSUSHI

比特币行情热门资讯