ChainCatcher 消息,據區塊鏈安全審計公司Beosin 旗下Beosin EagleEye 監測顯示,Rubic 項目被攻擊,Beosin 安全團隊分析發現RubicProxy 合約的routerCallNative 函數由於缺乏參數校驗,_params 可以指定任意的參數,攻擊者可以使用特定的integrator 來讓RubicProxy 合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative 函數,把所有授權給RubicProxy 合約的USDC 全部通過transferFrom 轉入了0x001B 地址,被盜資金近1100 個以太坊,通過Beosin Trace 追踪發現被盜資金已經全部轉入了Tornado cash。
dark
