「金色财经」据
区块链安全审计公司BeosinBeosineagleye安全风险监控、预警和阻断平台监控显示,2023年2月15日,攻击者利用MEV合同(0xd050)在正常交易执行前(用户授权WETH但尚未转账),首先调用Anyswapv4router合同的AnyswapoututunderlyingwithPermit函数进行签名授权转账,虽然该函数使用代币的permit签名验证,但这次被盗的WETH没有相关的签名验证函数,只触发了falback中的deposit函数。在后续的函数调用中,攻击者可以直接使用safetransferfrom函数将_underlying地址授权给被攻击合同的WETH,而无需签名验证。攻击者获利约87个以太坊,约13万美元。Beosintrace跟踪发现,约70个以太坊进入0x690b地址,约17个以太坊仍在MEVBOT合同中。交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c2f22e2f26bec08ac36f4