区块链:认了「合约漏洞」害用户被盗!SushiSwap:已追回3 百枚以太币

去中心化交易所SushiSwap因智能合约存在漏洞,导致其中一位用户——FrogNation前财务长「0xSifu」被盗走1,800枚以太币,损失超过300万美元。对此,Sushiswap「主厨」、执行长JaredGray表示,Sushi的「RouteProcessor2」合约存在审批错误,证实为攻击破口,正与安全团队合作解决问题,呼吁用户尽快撤销对该合约的授权。

SEC:Coinbase控制和汇集质押计划投资者的加密资产,并与自身资产一起进行质押:6月7日消息,SEC在针对Coinbase的诉讼中指出,在由Coinbase控制并按资产隔离的钱包中,该公司控制和汇集质押计划投资者的加密资产,连同Coinbase自己的加密资产一起。Coinbase还将自己的加密资产与质押计划投资者的资产一起进行质押,包括作为五种协议的同一质押池的一部分。

此外,Coinbase将所有由投资者提交并根据可质押资产隔离的加密资产视为可替代资产。[2023/6/7 21:20:32]

JaredGrey后来在说明事态进展时提到,大部分受影响的资金都在白帽安全流程中被保住,已成功追回逾300枚失窃的以太币,但还有近700枚以太币仍被卡在Lido的奖励金库中,目前正与对方联系以追讨被盗资金。

ParaSpace负责人回应团队出现纠纷质疑:不要担心,没有问题:5月10日消息,ParaSpace 负责人在回应社区ParaSpace 团队内部出现纠纷问题时表示,大家不要担心,没有问题,内部已经在协商,会尽快给大家答复。此外,ParaSpace 负责人还表示会立即召开推特 Space 以回应社区疑问,欢迎社区参与。[2023/5/10 14:54:42]

此外,SushiSwap技术长MatthewLilley澄清,SushiSwap协议和UI并无风险,所有RouterProcessor2合约的相关问题都已从前端移除,所有LPing/当前交易活动都可以安全进行,SushiSwap将持续监控、追讨被盗资金。

法院批准将Celsius的独占期延长至2023年2月15日:12月6日消息,Celsius表示,参加了两次听证会。在第一场听证会,Celsius讨论了请求批准允许出售稳定币的动议,旨在为Celsius的持续运营提供流动性,因为Celsius致力于为所有利益相关者实现价值最大化。法官表示他将很快分享他的决定,可能是下周。

在第二场听证会,法院批准将Celsius的独占期延长至2023年2月15日。在此期间,Celsius拥有提交第11章重组计划的专有权。Celsius打算利用这段时间继续为独立业务制定计划,因为Celsius探索所有可用的价值最大化机会,以造福于Celsius的客户和其他利益相关者。[2022/12/6 21:25:09]

区块链和智能合约安全公司Peckshield解释说,存在漏洞的合约「已被部署在多个区块链中」以复制攻击。

DefiLlama创办人0xngmi提到,该攻击似乎只针对那些在过去四天内使用过Sushiswap的用户,并呼吁用户把存在受影响钱包中的资金转走。0xngmi表示,他已建立一个网站,可供用户检查地址是否受到SushiSwap合约攻击事件的影响,同时知道哪些代币的授权需要撤销。

另根据慢雾安全团队情报分析,SushiSwapRouteProcessor2遭到攻击的事件经过如下:

根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。

由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。

恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。

攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:428ms