據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平台監測顯示,2023年4月9日, Sushiswap項目遭到攻擊,部分授權用戶資產已被轉移。根本原因是由於合約的值lastCalledPool重置在校驗之前,導致合約中針對pool的檢查失效,從而允許攻擊者swap時指定惡意pool轉出授權用戶資金,以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8為例: 1.攻擊者在約30天前創建了惡意pool合約2.調用SushiSwap的路由函數processRoute進行swap,指定了創建的惡意合約為pool合約3.最後在swap後惡意合約調用uniswapV3SwapCallback,指定tokenIn為WETH,from地址為受害者用戶地址(sifuvision.eth),從而利用受害用戶對路由合約的授權轉移走資金。建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權。
dark