Beosin EagleEye:Socket协议遭受攻击者call注入攻击,损失超300万美元
发布时间:2024-01-17 12:37:08
据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Socket协议遭受攻击者call注入攻击,导致大量授权用户资金被盗。本次攻击主要是由于Socket合约的performAction函数存在不安全的call调用。该函数功能是调用者可以将WETH兑换为ETH,并且调用者需要通过WETH的call将转入合约的WETH兑换为ETH,否则将不能通过余额检查。按理说函数中的call调用只能调用WETH合约的withdraw函数,但是项目方未考虑到调用者转入的WETH数量为0的情况,导致调用者可以在call中去调用其他指定函数,并且能通过余额检查。攻击者通过构造calldata,调用任意代币的transferfrom,将其他用户授权给该合约的代币转移到攻击者地址。
目前攻击者将被盗资金兑换为ETH,并保存在攻击者地址上。Beosin将对资金进行持续监控。被盗资金保存地址:https://eagleeye.space/address/0x50DF5a2217588772471B84aDBbe4194A2Ed39066。
(责编: admin)
免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
如有疑问请发送邮件至:goldenhorseconnect@gmail.com
- 慢雾CISO:谷歌搜索BounceBit第一个结果为钓鱼网站,用户需注意风险2024-05-13
- friend.tech即将推出Keydrops、Memeclubs等功能2024-05-07
- 香港比特币现货ETF首次出现净赎回,昨日净赎回75.36枚比特币2024-05-07
- HundreFinance攻击者从Curve中转移78.4万枚3Crv并兑换为273枚ETH2024-05-06
- Hedera网络主网交易已突破500亿笔2024-05-06
- 韩国提交捐赠法修正案,限制加密货币相关使用2024-05-06
- 5月6日午间重要动态一览2024-05-06
- 嘉信理财:预期美联储今年下半年减息两至三次2024-05-06
- 比特币网络高优先级交易费用升至472Sat/字节2024-05-05
- 5月5日午间重要动态一览2024-05-05
