星期三
10:40
Beosin EagleEye:Socket协议遭受攻击者call注入攻击,损失超300万美元
链观CHAINLOOK消息,据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Socket协议遭受攻击者call注入攻击,导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。该函数功能是调用者可以将WETH兑换为ETH,并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH,否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数,但是项目方未考虑到调用者转入的WETH数量为0的情况,导致调用者可以在call中去调用其他指定函数,并且能通过余额检查。攻击者通过构造calldata,调用任意代币的transferfrom,将其他用户授权给该合约的代币转移到攻击者地址。
目前攻击者将被盗资金兑换为ETH,并保存在攻击者地址上。Beosin将对资金进行持续监控。被盗资金保存地址:https://eagleeye.space/address/0x50DF5a2217588772471B84aDBbe4194A2Ed39066。
免责声明:本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况,及遵守所在国家和地区的相关法律法规。
下一篇:
Pyth Network:Pyth Entropy和Price Feeds已部署至Blast
预言机 Pyth Network 宣布已成为以太坊 Layer 2 网络 Blast 生态系统的首选预言机合作伙伴,其链上随机数解决方案 Pyth Entropy 和喂价系统 Price Feeds 已部署至 Blast,Blast 上的开发人员现在可以集成 400 多个实时价格源和新的随机数源。