慢雾:Rubic协议错将USDC添至Router白名单,致授权合约用户USDC遭窃取

2022-12-25 21:04:26律动BlockBeats分享至:

BlockBeats 消息,12 月 25 日,据慢雾安全团队情报,2022 年 12 月 25 日,Rubic 跨链聚合器项目遭到攻击,导致用户账户中的 USDC 被窃取。慢雾安全团队以简讯的形式分享如下:
1. Rubic 是一个 DEX 跨链聚合器,用户可以通过 RubicProxy 合约中的 routerCall
Native 函数进行 Native Token 兑换。在进行兑换前,会先检查用户传入的所需调用的目标 Router 是否在协议的白名单中。
2. 经过白名单检查后才会对用户传入的目标 Router 进行调用,调用数据也由用户外部传入。
3. 不幸的是 USDC 也被添加到 Rubic 协议的 Router 白名单中,因此任意用户都可以通过 RubicProxy 合约任意调用 USDC。
4. 恶意用户利用此问题通过 routerCallNative 函数调用 USDC 合约将已授权给 RubicProxy 合约的用户的 USDC 通过 transferFrom 接口转移至恶意用户账户中。
此次攻击的根本原因在于 Rubic 协议错误的将 USDC 添加进 Router 白名单中,导致已授权给 RubicProxy 合约的用户的 USDC 被窃取。

Rubic简介

跨链 DeFi 平台。全部

Rubic行情

今日价格$0.013903 USD24小时涨跌幅-20.41%24小时成交额$126,789.26 USD
总市值$2,364,381.67 USD流通供应量165,283,584最大供应量1,000,000,000

免责声明:作为区块链信息平台,本站所发布文章仅代表作者个人观点,与Bi123立场无关。文章内的信息、意见等均仅供参考,并非作为或视为实际投资建议。

最有价值的区块链信息和数据平台




扫码下载APP添加官方微信
行情机会交流