去中心化交易所:認了「合約漏洞」害用戶被盜！SushiSwap：已追回3 百枚以太幣

去中心化交易所SushiSwap因智能合約存在漏洞，導致其中一位用戶——FrogNation前財務長「0xSifu」被盜走1,800枚以太幣，損失超過300萬美元。對此，Sushiswap「主廚」、執行長JaredGray表示，Sushi的「RouteProcessor2」合約存在審批錯誤，證實為攻擊破口，正與安全團隊合作解決問題，呼吁用戶盡快撤銷對該合約的授權。

Lens Protocol正式發布V2版本:7月17日消息，Web3社交協議Lens Protocol于以太坊巴黎EthCC大會期間正式發布V2版本，以開放和可組合、利益共享、信任和安全為主，用戶現在可以直接在Lens出版物（publications）中執行外部智能合約操作，同時在Lens V2中加入了與社交媒體內的智能合約進行交互的能力。

新增第三方合約操作權限：包括添加白名單功能、在Sound鑄造NFT（以太坊主網）、在Opensea鑄造NFT（Polygon）等。新增資產管理功能：包括委派操作到任何錢包，即用戶可以使用其他錢包執行操作，而不僅限于單一錢包；將個人資料直接存儲在硬件錢包上，并可以在另一個錢包中使用；新版本支持將DAO或社區個人資料存儲在多簽名錢包上，并可以從一個或多個地址使用。這樣可以確保個人資料的安全性和訪問控制，并允許多個地址與其關聯等。[2023/7/17 11:00:10]

JaredGrey后來在說明事態進展時提到，大部分受影響的資金都在白帽安全流程中被保住，已成功追回逾300枚失竊的以太幣，但還有近700枚以太幣仍被卡在Lido的獎勵金庫中，目前正與對方聯系以追討被盜資金。

過去一周USDC流通量減少65億美元:金色財經報道，據Circle官方數據，3月10日至3月17日期間，Circle共發行22億美元USDC，贖回87億美元USDC，流通量減少約65億美元。截至3月17日，USDC總流通量為369億美元，儲備量為371億美元，其中現金81億美元，短期美國國債290億美元。[2023/3/19 13:12:55]

此外，SushiSwap技術長MatthewLilley澄清，SushiSwap協議和UI并無風險，所有RouterProcessor2合約的相關問題都已從前端移除，所有LPing/當前交易活動都可以安全進行，SushiSwap將持續監控、追討被盜資金。

知情人士：推特正召回部分解聘員工，此前被“錯誤解雇”:11月7日消息，據知情人士報道，推特現在正聯系數十名解聘員工，并要求他們重返工作崗位。知情人士表示，其中一部分被要求返崗的員工是被“錯誤解雇”的，其工作經驗可能符合馬斯克設想的新功能需求，但此前卻遭解雇。（彭博社）[2022/11/7 12:26:24]

區塊鏈和智能合約安全公司Peckshield解釋說，存在漏洞的合約「已被部署在多個區塊鏈中」以復制攻擊。

DefiLlama創辦人0xngmi提到，該攻擊似乎只針對那些在過去四天內使用過Sushiswap的用戶，并呼吁用戶把存在受影響錢包中的資金轉走。0xngmi表示，他已建立一個網站，可供用戶檢查地址是否受到SushiSwap合約攻擊事件的影響，同時知道哪些代幣的授權需要撤銷。

另根據慢霧安全團隊情報分析，SushiSwapRouteProcessor2遭到攻擊的事件經過如下：

根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查，導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。

由于在合約中并未對Pool是否合法進行檢查，直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。

惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數，由于lastCalledPool變量已被設置為Pool，因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。

攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數，以竊取其他已對RouteProcessor2授權的用戶的代幣。

Tags：區塊鏈Llama去中心化交易所區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢Llama幣是什么幣去中心化交易所違法嗎LFG去中心化交易所去中心化交易所英文單詞

Polygon