据慢雾安全小组称,4月9日,Sushi RouteProcessor2遭到攻击。慢雾安全团队以短信的形式分享了以下内容:1。根本原因是ProcessRoute没有检查用户传入的路由参数,导致攻击者利用这个问题构造恶意的路由参数,使得契约读取的池被攻击者创建。2.由于契约中没有检查池的合法性,所以直接将lastCalledPool变量设置为Pool,调用池的swap函数。3.恶意池在其交换函数中回调了RouteProcessor2的uniswapV3SwapCallback函数。因为lastCalledPool变量已设置为Pool,所以绕过了uniswapV3SwapCallback中的msg.sender检查。4.攻击者利用该问题在恶意池回调uniswapV3SwapCallback函数时构造令牌传递的参数,从而窃取其他已授权RouteProcessor2的用户的令牌。幸运的是,部分用户的资金已经被白帽抢走,有望追回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x 044 b 75 f 554 b 886 a 065 b 9567891 e 45 c 79542d 7357的授权。
本文由会员发布,不代表本站立场。如有侵权,请联系我们删除!
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信,我们会及时处理和回复。
原文地址"慢雾科技真的安全吗,慢雾是什么意思":http://www.ljycsb.cn/qukuailian/231403.html。
微信扫描二维码投放广告
▲长按图片识别二维码
