去中心化交易所SushiSwap因智能合约存在漏洞,导致其中一位用户——FrogNation前财务长「0xSifu」被盗走1,800枚以太币,损失超过300万美元。对此,Sushiswap「主厨」、执行长JaredGray表示,Sushi的「RouteProcessor2」合约存在审批错误,证实为攻击破口,正与安全团队合作解决问题,呼吁用户尽快撤销对该合约的授权。
JaredGrey后来在说明事态进展时提到,大部分受影响的资金都在白帽安全流程中被保住,已成功追回逾300枚失窃的以太币,但还有近700枚以太币仍被卡在Lido的奖励金库中,目前正与对方联系以追讨被盗资金。
此外,SushiSwap技术长MatthewLilley澄清,SushiSwap协议和UI并无风险,所有RouterProcessor2合约的相关问题都已从前端移除,所有LPing/当前交易活动都可以安全进行,SushiSwap将持续监控、追讨被盗资金。
区块链和智能合约安全公司Peckshield解释说,存在漏洞的合约「已被部署在多个区块链中」以复制攻击。
DefiLlama创办人0xngmi提到,该攻击似乎只针对那些在过去四天内使用过Sushiswap的用户,并呼吁用户把存在受影响钱包中的资金转走。0xngmi表示,他已建立一个网站,可供用户检查地址是否受到SushiSwap合约攻击事件的影响,同时知道哪些代币的授权需要撤销。
另根据慢雾安全团队情报分析,SushiSwapRouteProcessor2遭到攻击的事件经过如下:
根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。
由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。
恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。
攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。
标签:POOLUSHHISWAPALLLaunchPoolrushAI币Minimal Initial SushiSwap Offeringtrustwallet安全吗
1、Litentry推出元宇宙身份应用MyCryptoProfile以关联元宇宙和社交网络身份2、萨尔瓦多总统坚称该国不会强制使用比特币.
1.概览 BitZ币在研究院一直密切关注波卡生态及其PLO竞拍,在波卡平行链竞拍即将开始之前,我们把对波卡平行链竞拍规则、竞拍的经济模型测算等研究成果向大家分享.
避讳词只是起避讳的含义 但不可取代本意 前两天我们写了一篇《请给姓“操”的孩子起一个温柔的名字》的文章,讲述了“操”这个姓氏的来龙去脉,乍一听“操”这个字,可能有很多人都皱起了眉头,但其实.
同花顺财经讯 美股周四收高,市场今日交易清淡。标普上涨0.16%,道指涨110点,纳指基本持平。Zoom和Pinterest上市首日,分别上涨72%和28%.
NEO是一种去中心化的区块链平台,也被称为“中国以太坊”。作为一种开源平台,NEO旨在帮助开发人员利用智能合约2.0来创建功能强大的分布式应用程序.
本期金融科技月度评论重点包括:各国央行数字货币计划提速,其中,法国、泰国进一步推进相关试点项目,七国集团研究决定将就发行央行数字货币展开合作;数字货币与数字资产监管进展突出.
区块见闻