ChainCatcher 消息,據慢霧安全團隊情報,Rubic 跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC 被竊取。慢霧安全團隊以簡訊的形式分享如下: 1. Rubic 是一個DEX 跨鏈聚合器,用戶可以通過RubicProxy 合約中的routerCallNative 函數進行Native Token 兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標Router 是否在協議的白名單中。 2. 經過白名單檢查後才會對用戶傳入的目標Router 進行調用,調用數據也由用戶外部傳入。 3. 不幸的是USDC 也被添加到Rubic 協議的Router 白名單中,因此任意用戶都可以通過RubicProxy 合約任意調用USDC。 4. 惡意用戶利用此問題通過routerCallNative 函數調用USDC 合約將已授權給RubicProxy 合約的用戶的USDC 通過transferFrom 接口轉移至惡意用戶賬戶中。此次攻擊的根本原因在於Rubic 協議錯誤的將USDC 添加進Router 白名單中,導致已授權給RubicProxy 合約的用戶的USDC 被竊取。 (來源鏈接)
dark