Beosin EagleEye:由于call注入攻击,Socket协议遭到攻击,损失超过300万美元
火币HTX报道称,根据Beosin旗下Eagleeeye安全风险监控、预警和屏障平台监控,Socket协议遭到攻击者call的攻击,导致大量授权用户资金被盗。此次攻击主要是由于Socket合同的performaction函数存在不安全的call调用。 该函数功能是调用者可以将WETH换成ETH,调用者需要通过WETH的呼叫将WETH换成ETH,否则将无法通过余额检查。从理论上讲,函数中的呼叫只能调用WETH合同的withdraw函数,但项目方没有考虑呼叫者转移的WETH数量为0,因此呼叫者可以在呼叫中调用其他指定函数,并且可以通过余额检查。 通过结构calldata,攻击者调用随机代币的transferfrom,将其他用户授权给合同的代币转移到攻击者地址。目前,攻击者将被盗资金换成ETH,并上传到攻击者地址,Beosin将继续监控资金。
版权声明:本站所有文章皆是来自互联网,如内容侵权可以联系我们删除!