当前位置:首页币种行情多链兑换协议Rubic遭到黑客攻击,损失超140万美元

多链兑换协议Rubic遭到黑客攻击,损失超140万美元

12月25日消息,据安全机构PeckShield监测,多链兑换协议Rubic遭到黑客攻击,损失超140万美元,攻击者已将1100枚ETH转入Tornado Cash混币协议。

慢雾安全团队分析了该被盗过程,认为此次攻击的根本原因在于 Rubic 协议错误的将 USDC 代币添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 代币被窃取。详情如下:

1. Rubic 是一个 DEX 跨链聚合器,用户可以通过 RubicProxy 合约中的 routerCallNative 函数进行 Native 代币兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router 是否在协议的白名单中。2. 经过白名单检查后才会对用户传入的目标 Router 进行调用,调用数据也由用户外部传入。3. 但不幸的是 USDC 代币也被添加到 Rubic 协议的 Router 白名单中,因此任意用户都可以通过 RubicProxy 合约任意调用 USDC 代币。4. 因此恶意用户利用此问题通过 routerCallNative 函数调用 USDC 合约将已授权给 RubicProxy 合约的用户的 USDC 代币通过 transferFrom 接口转移至恶意用户账户中。

参考:Exploit tx:https://etherscan.io/tx/0x9a97d85642f956ad7a6b852cf7bed6f9669e2c2815f3279855acf7f1328e7d46Add USDC to available router:https://etherscan.io/tx/0x30679e7b6b410fb78368f5fb6e4c203e44d81c66ae9014c797e40856be1bbe66

温馨提示:

文章标题:多链兑换协议Rubic遭到黑客攻击,损失超140万美元

文章链接:https://www.btchangqing.cn/465824.html

更新时间:2023年02月17日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。

币种行情

nft数字艺术[nft数字艺术品会一直火下去吗]

2023-2-17 22:14:49

币种行情

关于kishu币最新行情的信息

2023-2-17 22:18:09

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索