快訊

慢霧：Rubic協議錯將USDC添至Router白名單，導致已授權合約用戶USDC遭竊取

金色財經 2022-12-26 00:00

12月25日消息，據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶帳戶中的USDC被竊取。慢霧安全團隊分享如下：1. Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。 2. 經過白名單檢查後才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。 3. 不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。 4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶帳戶中。此次攻擊的根本原因在於Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。

暢行幣圈交易全攻略，專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群（點此入群）
不管是新手發問，還是老手交流，只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資，都歡迎入群討論學習！

▶ 前往鉅亨買幣找交易所優惠

買幣要選交易所！優惠盡在鉅亨買幣
掌握全球財經資訊點我下載APP

‌

上一篇
GBTC負溢價率達45.73%
下一篇
盤中速報 - Hooked Protocol(HOOK)盤中跌幅10.49%，報1.29美元