menu-icon
anue logo
鉅樂部鉅亨號鉅亨買幣
search icon
快訊

慢霧:Rubic協議錯將USDC添至Router白名單,致授權合約用戶USDC遭竊取

BlockBeats 律動財經 2022-12-25 21:30

BlockBeats 消息,12 月 25 日,據慢霧安全團隊情報,2022 年 12 月 25 日,Rubic 跨鏈聚合器項目遭到攻擊,導致用戶帳戶中的 USDC 被竊取。慢霧安全團隊以簡訊的形式分享如下: 1. Rubic 是一個 DEX 跨鏈聚合器,用戶可以通過 RubicProxy 合約中的 routerCallNative 函數進行 Native Token 兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router 是否在協議的白名單中。 2. 經過白名單檢查後才會對用戶傳入的目標 Router 進行調用,調用數據也由用戶外部傳入。 3. 不幸的是 USDC 也被添加到 Rubic 協議的 Router 白名單中,因此任意用戶都可以通過 RubicProxy 合約任意調用 USDC。 4. 惡意用戶利用此問題通過 routerCallNative 函數調用 USDC 合約將已授權給 RubicProxy 合約的用戶的 USDC 通過 transferFrom 接口轉移至惡意用戶帳戶中。 此次攻擊的根本原因在於 Rubic 協議錯誤的將 USDC 添加進 Router 白名單中,導致已授權給 RubicProxy 合約的用戶的 USDC 被竊取。

原文連結

暢行幣圈交易全攻略,專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群
不管是新手發問,還是老手交流,只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!

前往鉅亨買幣找交易所優惠






Empty