慢雾:Rubic 协议错误地将 USDC 添加进 Router 白名单,致授权给 RubicProxy 合约的用户的 USDC ...
ForesightNews消息,据慢雾安全团队情报,2022年12月25日,Rubic跨链聚合器项目遭到攻击,导致用户账户中的USDC代币被窃取。慢雾安全团队以简讯的形式分享如下:1.Rubic是一个DEX跨链聚合器,用户可以通过RubicProxy合约中的routerCallNative函数进行Native代币兑换。在进行兑换前,会先检查用户传入的所需调用的目标Router是否在协议的白名单中。2.经过白名单检查后才会对用户传入的目标Router进行调用,调用数据也由用户外部传入。3.但不幸的是USDC代币也被添加到Rubic协议的Router白名单中,因此任意用户都可以通过RubicProxy合约任意调用USDC代币。4.因此恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC代币通过transferFrom接口转移至恶意用户账户中。此次攻击的根本原因在于Rubic协议错误的将USDC代币添加进Router白名单中,导致已授权给RubicProxy合约的用户的USDC代币被窃取。数字货币也不安全了 这个看看了啊
看看有什么好的新闻 数字币看看 看看什么授权啊。 也是很可怕了 花想开 发表于 2022-12-26 22:46
也是很可怕了
是有点可怕了吧 分享要看看了 yubuluowang 发表于 2022-12-27 14:23
是有点可怕了吧
还是要小心为上
页:
[1]
2