据慢雾安全团队情报,SUSHIRouteProcessor2遭到攻击。慢雾安全团队以简讯的形式分享如下:
1.根本原因在于ProcessRoute未对用户传入的route参数进行任何检查,导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。
The Information:a16z首支Web3基金已部分兑现,收益率高达300%:10月21日消息,a16z规模为 3 个亿美元的第一支加密基金在去年的加密牛市中兑现了部分收益,目前已经返还给 LP 这一基金原始规模的 3 倍。该基金的其余部分仍然未兑现。但据知情人士透露, 理论上,这支基金的回报可能会高达 10 倍(尽管如果当前的加密熊市持续低迷,可能会让收益缩小)。(The Information)[2022/10/21 16:34:28]
2.由于在合约中并未对Pool是否合法进行检查,直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。
P2E游戏初创公司Battlebound获得480万美元融资 A16z领投:金色财经报道,P2E游戏初创公司Battlebound宣布了由Andreessen Horowitz(a16z)领投的480万美元种子轮融资,PlayVentures和CryptoKitties开发商DapperLabs参与其中。参与本轮融资的天使投资人包括YieldGuildGames首席执行官Gabby Dizon、Dapper Labs首席执行官Roham Gharegozlou和a16z顾问AlexPrice。这笔资金将帮助Battlebound扩大规模并分阶段发布其两个正在开发中的游戏,以加快上市速度。Battlebound首席执行官表示,该公司还将扩大其开发和运营团队。(coindesk)[2022/3/31 14:30:02]
3.恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数,由于lastCalledPool变量已被设置为Pool,因此uniswapV3SwapCallback中对msg.sender的检查被绕过。
a16z合伙人:Web 3和NFT可解决互联网缺乏所有权和依赖广告问题:11月9日消息,a16z合伙人Chris Dixon在推特上发文称,缺乏真正所有权和依赖广告是互联网的原罪,现在终于有工具来解决这个问题了,这个工具就是Web 3和NFT。Chris Dixon认为,如今某些类别的Web 2网站和APP已经陷入可用性/货币化死亡旋涡,这些网站和APP依赖广告并通过更低的按展示计费标准获利,其动机是添加更多侵入性广告以提高点击率,但引入更多侵入性广告的结果会导致用户体验下降,继而导致流量下降。[2021/11/9 6:40:35]
4.攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数,以窃取其他已对RouteProcessor2授权的用户的代币。
幸运的是部分用户的资金已被白帽抢跑,有望收回。慢雾安全团队建议RouteProcessor2的用户及时撤销对0x044b75f554b886a065b9567891e45c79542d7357的授权。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。