Odaily星球日报讯 据慢雾安全团队情报,10月11日,ETH链上的Rabby钱包项目的Swap合约被攻击,其合约中代币兑换函数直接通过OpenZeppelin Address library中的functionCallWithValue函数进行外部调用,而调用的目标合约以及调用数据都可由用户传入,但合约中并未对用户传入的参数进行检查,导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。
截至目前,Rabby Swap事件黑客已经获利超19万美元,资金暂时未进一步转移。黑客地址的手续费来源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、Trader Joe。慢雾MistTrack将持续监控黑客地址并分析相关痕迹。
