跨链去中心化金融 (DeFi) 协议 Rubic 遭到破坏,导致存储在其用户地址中的资金被窃取并转移给黑客。
25 月 XNUMX 日,Rubic 协议宣布其路由合约之一遭到破坏,所有合约将被停止,直到情况得到充分了解。 公告内容如下:
该协议的创建者还建议他们的用户通过 revoke.cash 工具撤销合约授权。 区块链网络安全公司 PeckShield 的 Twitter 帖子解释说,Rubic 协议中的一个漏洞导致直接从授权其智能合约的钱包中损失了价值 1.41 万美元的资金。
剥削者地址从 Uniswap 涉及美元硬币 (USDC) 稳定币的交易中的去中心化交易所 (DEX)。 PeckShied 解释说,由于错误地将 USDC 添加到受支持的路由器中,导致黑客攻击成为可能。 此外,“ruterCallNative 缺乏验证”也允许恶意使用合约。
借助 chatGPT 进行的快速智能合约分析表明,ruterCallNative 函数包含许多潜在漏洞,包括“_params”和“_data”参数的无效输入。 这些可能允许攻击者传递可能导致不正确或意外行为的恶意输入。
此外,传递给函数的“_gateway”参数不受限制,可能允许攻击者创建合约并由 RubicProxy 合约执行。
确实,攻击者 部署 攻击中使用的自定义智能合约。 这 解码后的字节码 显示了允许攻击者尽可能高效地执行攻击的 337 行代码。
黑客的地址首先收到一个 1,161.55 复仇 (ETH) 转账和另一笔 26.88 ETH 转账,均来自 Uniswap 协议,专门抽取 USDC 并将其兑换为包装好的以太坊 (WETH)。 所有这些 WETH 后来都被发送到链上混合器和受制裁的实体 龙卷风现金 将不义之财匿名化。
链上分析显示,发送到代币匿名化服务的价值 1.45 万美元的传入交易源自黑客的地址——该服务的总传入价值约为 2.9 万美元。 换句话说,今天发送到混币器的资产中,大约有一半是由剥削者发送的。
尽管黑客的资金占该服务传入交易量的很大一部分,但他们的匿名性仍然很大。 这笔存款可能是今天处理的 Tornado Cash 提款中的 2 万美元,或者是智能合约中仍存入的价值 174 亿美元的资产。
Tornado Cash 是一种现在非法的 DeFi 协议,允许用户在以太坊区块链上进行匿名转账。 该协议使用零知识证明(ZK-proofs)来隐藏交易的输入和输出地址。 第三方难以确定交易各方的身份或转移的具体目的。
Tornado Cash 是一个建立在以太坊区块链之上的开源项目,任何拥有以太坊钱包的人都可以访问。 用户可以使用他们的以太坊钱包或通过去中心化托管服务 InterPlanetary 文件系统 (IPFS) 仍然可用的 Web 界面与 Tornado Cash 合约进行交互。 他们可以通过将资金发送到 Tornado Cash 合约并将其提取到新地址来执行符合 ERC-20 标准的 ETH 或代币的匿名转移。
该消息紧随最近 报告 在过去五年中,朝鲜黑客窃取了大约 1.2 亿美元的加密货币和其他虚拟资产。 其中大部分黑客攻击仅发生在 2021 年。
资料来源:https://crypto.news/rubic-dex-aggregator-hack-leads-to-1-4m-of-user-funds-stolen/