元宇宙非小号金色财经交流群社区官网

「ForesightNews」慢雾:SushiSwap 攻击者通过构造恶意 route 参数,以窃取其他已授权用户的代币

浏览:184|时间:2023-04-09 12:52:44
「ForesightNews」据慢雾安全团队报道,2023年4月9日,SUSHIRouteProcesor2遭到攻击。慢雾安全团队以短信的形式分享如下:1。根本原因是Procesroute没有检查用户传输的route参数,导致攻击者利用这个问题构建恶意route参数,使合同读取的Pool由攻击者创建。2.由于合同中没有检查Pool是否合法,直接将lastcalledPol变量设置为Pool,并调用Pool的swap函数。3.恶意Pool在其swap函数中回调了RouteProcesor2的uniswapv3swapcallback函数。由于lastcalledPol变量已设置为pool,uniswapv3swapcalback中的msg.绕过了sender的检查。4.攻击者利用这个问题,在恶意Pool回调uniswapv3swapcalback函数时,构建代币转移参数,窃取其他授权RouteProcesor2的用户的代币。幸运的是,一些用户的资金已经被白帽抢走,预计将被收回。慢雾安全团队建议RouteProcesor2的用户及时撤销0x04b75f554b86a065b957891e45ce79542d7357的授权。

ap Hi HT 代币

    币圈相关新闻
本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All