当前位置:首页 > 快讯 >

「金色财经」安全团队:建议用户取消不同链上Sushiswap RouteProcessor2合约的授权

「金色财经」据金融报道,根据区块链安全审计公司BeosinBeosineagleeye的安全风险监控、预警和阻断平台监控,Sushiswap项目于2023年4月9日受到攻击,部分授权用户资产已转移。根本原因是合同的值lastcalledpol重置在验证前,导致合同中对pool的检查失败,从而允许攻击者在swap中指定恶意pol转出授权用户资金。以0xea3480f1f1d1f0b3283f8f282ce16403fe22ede35c0b71a732193e56c5c5e8为例:1.攻击者在约30天前创建了恶意pol合同。2.调用sushiswap的路由函数procesroute进行swap,指定创建的恶意合同为pol合同3。最后,在swap之后,恶意合同调用uniswapv3swapcallback,指定tokenin为weth,from地址为受害者的用户地址(sifuvision.eth),从而利用受害者对路由合同的授权转移资金。建议用户取消SushiswaprouteProcesor2合同在不同链上的授权。

猜你喜欢

微信二维码

微信