事件背景
零时科技区块链安全情报平台监控到消息,北京时间2022年12月25日,ETH链上Rubic协议受到黑客攻击,攻击者获利约1161WETH,攻击者地址为0x001b91c794dfeecf00124d3f9525dd32870b6ee9,被盗资金已被攻击者转移至Tornadocash混币平台。零时科技安全团队及时对此安全事件进行分析。
漏洞核心
合约中的routerCallNative函数中会对可以调用的router进行判断,但是由于项目方的错误,将USDC Token地址
0xA0b86991c6218b36c1d19D4a2e9Eb0cE3606eB48设置为router地址,分析如下:
后续调用Router进行转账,攻击者通过此函数将其他用户授权给合约的USDC转出。
总结及建议
往期内容回顾
零时科技 || 警惕恶意聊天软件!聊天记录被劫持损失数千万资产追踪分析
零时科技 || 分布式资本创始人4200万美金资产被盗分析及追踪工作
零时科技 || Victor the Fortune攻击事件分析
原文始发于微信公众号(零时科技):零时科技 || Rubic 协议黑客攻击事件分析
