安全團隊：Numbers Protocol（NUM）項目遭攻擊

金色財經報導，據慢霧安全團隊情報，2022年11月23日，ETH鏈上的Numbers Protocol（NUM）代幣項目遭到攻擊，攻擊者獲利約13,836美元。慢霧安全團隊以簡訊形式分享如下： 1.攻擊者創建了一個惡意的anyToken代幣，即攻擊合約（0xa68cce），該惡意代幣合約的底層代幣指向NUM代幣地址； 2.接着調用Multichain跨鏈橋的Router合約的anySwapOutUnderlyingWithPermit函數，該函數的功能是傳入anyToken並調用底層代幣的permit函數進行簽名批准，之後兌換出擁有授權的用戶的底層代幣給指定地址。但是由於NUM代幣中沒有permit函數且擁有回調功能，所以即使攻擊者傳入假簽名也能正常返回使得交易不會失敗，導致受害者地址的NUM代幣最終可以被轉出到指定的攻擊合約中； 3.接着攻擊者將獲利的NUM代幣通過Uniswap換成USDC再換成ETH獲利；此次攻擊的主要原因在於NUM代幣中沒有permit函數且具有回調功能，所以可以傳入假簽名欺騙跨鏈橋導致用戶資產被非預期轉出。

---