「ForesightNews」根据
区块链安全审计公司Beosin的Beosineagleeye安全风险监控、预警和阻断平台监控,Multichain的AnyswapV4Router合同于2023年2月15日被抢跑攻击,攻击者利用MEV合同(0xd050)在正常交易执行前(用户授权WETH但尚未转账),首先调用Anyswapv4router合同的AnyswapoututunderlyingwithPermit函数进行签名授权转账,虽然该函数使用代币的permit签名验证,但这次被盗的WETH没有相关的签名验证函数,只触发了falback中的deposit函数。在后续的函数调用中,攻击者可以直接使用safetransferfrom函数将_underlying地址授权给被攻击合同的WETH,而无需签名验证。攻击者获利约87个以太坊,约13万美元。Beosintrace发现,约70个以太坊进入0x690b地址,约17个以太坊仍留在MEVBOT合同中。
