UBI:慢雾：Rubic 协议错将 USDC 添至 Router 白名单，致授权合约用户 USDC 遭窃取

据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队以简讯的形式分享如下：

1.Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行NativeToken兑换。在进行兑换前，会先检查用户传入的所需调用的目标Router是否在协议的白名单中。

慢雾：过去一周Web3因安全事件损失约265万美元:7月17日消息，慢雾发推称，2023年7月10日至7月16日期间，Web3发生5起安全事件，总损失为265.5万美元，包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

2.经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。

慢雾：苹果发布可导致任意代码执行的严重漏洞提醒，请及时更新:7月11日消息，慢雾首席信息安全官23pds发推称，近日苹果发布严重漏洞提醒，官方称漏洞CVE-2023-37450可以在用户访问恶意网页时导致在你的设备上任意代码执行，据信这个已经存在被利用的情况，任意代码危害严重，请及时更新。[2023/7/11 10:47:05]

3.不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。

慢雾：昨日MEV机器人攻击者恶意构造无效区块，建议中继运营者及时升级:金色财经报道，慢雾分析显示，昨日MEV机器人被攻击的问题原因在于即使信标区块不正确，中继仍将有效载荷（payload）返回给提议者，导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题，恶意构造了无效的区块，使得该区块无法被验证，中继无法进行广播（状态码为202）从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题，建议中继运营者及时升级中继。

据此前报道，昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]

4.恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。(来源链接）

标签：UBIBICRubicRUB瑞士jubileBICO价格Rubex Money

Fil热门资讯