10月11日消息,DeBank 插件钱包 Rabby 发推称,其 Rabby Swap 智能合约存在漏洞,请使用过它的用户尽快撤销所有链上的 Rabby Swap 批准。目前团队正在解决问题。对于那些没有使用过 Rabby Swap 的人来说,钱包是安全且不受影响的。
此前据 Supremacy 安全团队称,DeBank 钱包 Rabby 的 Swap Router 疑似存在一个漏洞,可任意转移用户资产,建议尽快取消对 Rabby 的授权。攻击者地址为 0xb687550842a24d7fbc6aad238fd7e0687ed59d55。
据慢雾安全团队情报分析, Rabby Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue 函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。
截止目前,Rabby Swap 事件黑客已经获利超 19 万美元,资金暂时未进一步转移。黑客地址的手续费来源是 Tornado Cash 10 BNB,使用工具有 Multichain、ParaSwap、PancakeSwap、Uniswap V3、Trader Joe。慢雾 MistTrack 将持续监控黑客地址并分析相关痕迹。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
