据慢雾安全团队情报分析,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:
1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。
摩根大通CEO:大多数客户将比特币视为一种资产类别:7月20日消息,摩根大通首席执行官Mary Callahan Erdoes在接受采访时表示,大多数客户将比特币视为一种资产类别。[2021/7/20 1:05:10]
2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。
戴蒙正关注比特币期货市场商业机会 摩根大通或推比特币产品:杰米?戴蒙正在“关注计划中的比特币期货市场的商业机会”。摩根大通正在考虑是否通过期货经纪部门向客户提供芝商所的新比特币产品,并从中收取服务费。[2017/11/23]
3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。
在怒斥比特币为工具两个月之后 摩根大通瑞士子公司因被罚:两个月前,摩根大通首席执行官杰米·戴蒙猛烈抨击了比特币,称其为“欺诈工具”。但是据瑞士纸面媒体《Handelszeitung》报道,摩根大通的瑞士子公司被瑞士监管机构——瑞士金融市场监督管理局——批准制裁,制裁原因就是和“严重违反法律监督。”[2017/11/17]
4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。
幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。
今日早些时候报道,SushiSwap项目疑似被攻击,损失约334万美元。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。