快訊

Beosin EagleEye：Socket協議遭受攻擊者原因是call注入攻擊，損失超300萬美元

金色財經 2024-01-17 11:00

‌

金色財經報導，據Beosin旗下EagleEye安全風險監控、預警與阻斷平台監測顯示，Socket協議遭受攻擊者call注入攻擊，導致大量授權用戶資金被盜。本次攻擊主要是由於Socket合約的performAction函數存在不安全的call調用。該函數功能是調用者可以將WETH兌換為ETH，並且調用者需要通過WETH的call將轉入合約的WETH兌換為ETH，否則將不能通過餘額檢查。按理說函數中的call調用只能調用WETH合約的withdraw函數，但是項目方未考慮到調用者轉入的WETH數量為0的情況，導致調用者可以在call中去調用其他指定函數，並且能通過餘額檢查。攻擊者通過構造calldata，調用任意代幣的transferfrom，將其他用戶授權給該合約的代幣轉移到攻擊者地址。目前攻擊者將被盜資金兌換為ETH，並保存在攻擊者地址上，Beosin將對資金進行持續監控。

暢行幣圈交易全攻略，專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群（點此入群）
不管是新手發問，還是老手交流，只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資，都歡迎入群討論學習！

▶ 前往鉅亨買幣找交易所優惠

掌握全球財經資訊點我下載APP

文章標籤

上一篇
MAV突破0.66美元，24小時漲幅28.77%
下一篇
Ripple CEO：該公司已暫時擱置任何IPO計劃