(相關資料圖)

據(jù)區(qū)塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監(jiān)控、預警與阻斷平臺監(jiān)測顯示，2023年4月9日， Sushiswap項目遭到攻擊，部分授權用戶資產(chǎn)已被轉移。 根本原因是由于合約的值lastCalledPool重置在校驗之前，導致合約中針對pool的檢查失效，從而允許攻擊者swap時指定惡意pool轉出授權用戶資金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8為例： 1.攻擊者在約30天前創(chuàng)建了惡意pool合約 2.調用SushiSwap的路由函數(shù)processRoute進行swap，指定了創(chuàng)建的惡意合約為pool合約 3.最后在swap后惡意合約調用uniswapV3SwapCallback，指定tokenIn為WETH，from地址為受害者用戶地址(sifuvision.eth)，從而利用受害用戶對路由合約的授權轉移走資金。 建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權。

關鍵詞：