🚨 Предупреждение SlowMist TI 🚨 💸 Потери: ~1 291,16 ETH + ~1 268 771 USDC + ~206 282 USDT + ~16,94 WBTC @trustedvolumes 🔍 Причина: В функции fillOrder (селектор 0x4112e1c2) реализации RFQ проверка подписи использует _allowedSigners[msg.sender][signer] с вызывающим адресом (тейкером) вместо мейкера заказа в качестве ключа, что позволяет зарегистрировать атакующий контракт через registerAllowedOrderSigner и выполнять поддельные заказы от имени любого мейкера. 📌 Атакующий EOA: 0xc3ebddea4f69df717a8f5c89e7cf20c1c0389100 📌 Жертвеный контракт: 0x9ba0cf1588e1dfa905ec948f7fe5104dd40eda31 📌 Уязвимый контракт: 0x88eb28009351fb414a5746f5d8ca91cdc02760d8 Атакующий изъял активы из кастодиального контракта с неограниченными разрешениями через 4 поддельных заказа RFQ.
Поделиться
Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации.
Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.