SWAP:安全团队：ParaSwap部署者私钥疑似泄露且资金被盗，多签金库或存在风险

据Supremacy安全团队监测，今日DEX聚合平台ParaSwap合约部署者地址在多个链上发起异常交易，将其地址中的全部余额转移至0xf35875a064cdbc29d7174f5c699f1ebeaa407036地址。

安全团队：SUSHI RouteProcessor2 遭受攻击，请及时撤销对其的授权:金色财经报道，据慢雾安全团队情报，2023年4月9日，SUSHI Route Processor2 遭到攻击。慢雾安全团队以简讯的形式分享如下：

1. 根本原因在于 ProcessRoute 未对用户传入的 route 参数进行任何检查，导致攻击者利用此问题构造了恶意的 route 参数使合约读取的 Pool 是由攻击者创建的。

2. 由于在合约中并未对 Pool 是否合法进行检查，直接将 lastCalledPool 变量设置为 Pool 并调用了 Pool 的 swap 函数。

3. 恶意的 Pool 在其 swap 函数中回调了 RouteProcessor2 的 uniswapV3SwapCallback 函数，由于 lastCalledPool 变量已被设置为 Pool，因此 uniswapV3SwapCallback 中对 msg.sender 的检查被绕过。

4. 攻击者利用此问题在恶意 Pool 回调 uniswapV3SwapCallback 函数时构造了代币转移的参数，以窃取其他已对 RouteProcessor2 授权的用户的代币。

幸运的是部分用户的资金已被白帽抢跑，有望收回。慢雾安全团队建议 RouteProcessor2 的用户及时撤销对 0x044b75f554b886a065b9567891e45c79542d7357 的授权。[2023/4/9 13:53:21]

经过分析，该地址为Profanity漏洞利用者地址，其历史记录中有窃取多个靓号地址资产的痕迹。经过排查，目前只有ParaSwap部署者地址自身资产遭到窃取，暂不影响ParaSwap多签金库(签名阈值为2)，但不排除其他多签地址也由Profanity生成，所以多签金库也可能存在风险。

安全团队：Polygon链上INJ代币下跌99%，这与Cosmos链上协议Injective无关:8月19日消息，据CertiK预警监测，Polygon链上一名为“Injective Protocol（INJ）”的代币下跌99%，请注意这与基于Cosmos的去中心化衍生品交易协议Injective无关。[2022/8/19 12:35:51]

目前Supremacy团队已联系ParaSwap官方传达信息，并呼吁大家即时将及时更换由Profanity生成的地址，针对Profanity地址的攻击仍在持续进行。

安全团队：Go Coin项目疑似发生Rug Pull，Go代币下跌92%:金色财经消息，据CertiK预警监测，BSC链上Go Coin项目疑似发生Rug Pull，Go代币下跌92%，合约部署者将费用设置为最高，并将禁止出售的地址列入黑名单。[2022/8/15 12:25:56]

标签：SWAPPROPOOPOOLViking Swapbitopro交易所安卓版POOR价格POOL价格

币安app官方下载最新版热门资讯