「ForesightNews」ForesightNews据慢雾安全团队报道,2022年10月11日,以太坊链Rabby
钱包项目的Swap合同被攻击,合同中的代币兑换函数直接通过OpenZeppelinAddresslibrary中的functionCallWithValue外部调用函数,用户可以传输调用目标合同和调用数据,但合同中没有检查用户传输的参数,导致任何外部调用问题。攻击者利用这个问题窃取了合同授权的用户的资金。攻击者利用这个问题窃取了该合同授权的用户的资金。慢雾安全团队提醒使用该合同的用户,请迅速取消该合同的授权,并提取资金以避免风险。截止目前,RabbySwap黑客已获利19万多美元,资金尚未进一步转移。黑客地址的手续费来源是TornadoCash10BNB,使用工具有Multichain、ParaSwap、PancakeSwap、UniswapV3、TraderJoe。慢雾MistTrack黑客地址将继续监控并分析相关痕迹。