🚨 Попередження SlowMist TI 🚨 💸 Збитки: ~1 291,16 ETH + ~1 268 771 USDC + ~206 282 USDT + ~16,94 WBTC @trustedvolumes 🔍 Причина: У функції fillOrder (селектор 0x4112e1c2) реалізації RFQ перевірка підпису використовує _allowedSigners[msg.sender][signer] з викликачем (тейкером) замість мейкера замовлення як ключ, що дозволяє зареєструвати атакуючий контракт через registerAllowedOrderSigner та виконати підроблені замовлення від імені будь-якого мейкера. 📌 Атакуючий EOA: 0xc3ebddea4f69df717a8f5c89e7cf20c1c0389100 📌 Жертва контракту: 0x9ba0cf1588e1dfa905ec948f7fe5104dd40eda31 📌 Вразливий контракт: 0x88eb28009351fb414a5746f5d8ca91cdc02760d8 Атакуючий вивів активи з кастодіального контракту за допомогою 4 підроблених RFQ-замовлень із безмежними схваленнями.
Поділитися
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.