零时科技 || 处于“自救期”的 SushiSwap 是如何被黑客攻击的?
事件背景
零时科技区块链安全情报平台监控到消息,北京时间 2023 年 4 月 9 日,Sushiswap 项目受到攻击,损失约 1800ETH ,约为 334 万美元。零时科技安全团队及时对此安全事件进行分析。
漏洞及核心
合约中没有对传入的参数 router 进行判断,使得攻击者能够通过恶意构造 router 进行后续操作
在 processRouteInternal 函数中将传入的 router 参数存入合约中,后续执行 swap 时会调用
在 swapUniV3 中函数执行兑换操作,由于攻击者已将恶意 router 存入合约,此时函数转入执行攻击者构造的 pool 合约
在回调函数中进行判断需函数调用者为 pool,由于之前攻击者已经将 pool 地址修改,此处可成功绕过地址检查,因此攻击者可任意恶意构造代币转移函数,将授权用户的资金转出。
总结及建议
此次攻击是由于合约中未对传入参数进行检查,攻击者能够通过恶意构造参数使得合约转入执行由攻击者创建的恶意合约并将授权用户的资金转出。
安全建议
🔹建议有对此项目合约授权的用户尽快取消授权防止资金被盗
▪ETH:
0x044b75f554b886A065b9567891e45c79542d7357
▪BSC:
0xD75F5369724b513b497101fb15211160c1d96550
▪POLYGON:
0x5097cbb61d3c75907656dc4e3bba892ff136649a
▪FTM:
0x3e603c14af37ebdad31709c4f848fc6ad5bec715
▪AVAX:
0xbACEB8eC6b9355Dfc0269C18bac9d6E2Bdc29C4F
🔹建议项目方上线前进行多次审计,避免出现审计步骤缺失
往期内容回顾
零时科技 ||《2022 年全球 Web3 行业安全研究报告》正式发布!
零时科技 || 分布式资本创始人 4200 万美金资产被盗分析及追踪工作
零时科技 || 警惕恶意聊天软件!聊天记录被劫持损失数千万资产追踪分析
零时科技联合创始人黄鱼先生受邀对话《Web3 应用创新与生态安全》
零时科技创始人邓永凯先生受邀对话《公链隐私保护及生态安全》
国家网络安全宣传周|零时科技出版国内首本区块链安全书籍,助力行业发展!
零时科技 || Ankr 资金被盗分析
零时科技 || DFX Finance 攻击事件分析
零时科技 || Victor the Fortune 攻击事件分析
零时科技 || EGD 被黑客攻击损失超 3.6 万 BUSD,事件分析
免责声明:文章中的所有内容仅代表作者的观点,与本平台无关。用户不应以本文作为投资决策的参考。
你也可能喜欢
被解雇的编辑和被审查的文章:CoinDesk面临行业严厉审查
CoinDesk在删除一篇批评Justin Sun的文章后经历编辑动荡。包括主编在内的多名高层编辑在争议中被解雇。Charles Hoskinson质疑CoinDesk的未来价值,暗示由于最近的编辑决策,其价值已下降。
大帽山的TerraUSD骗局代价高昂:美国证监会处以1.23亿美元罚款
美国证券交易委员会对大帽山公司处以1.23亿美元罚款,原因是其误导投资者关于TerraUSD的稳定性。大帽山通过LUNA代币交易销售未注册证券,违反了法律。TerraUSD的崩溃暴露了加密货币透明度的缺陷和监管监督的需求。
彼得·希夫发布其提议的USAcoin升级版
比特币FUD达到年度最高点:这对BTC牛市意味着什么