PANews 10月11日消息,DeBank 插件錢包Rabby 發推稱,其Rabby Swap 智能合約存在漏洞,請使用過它的用戶盡快撤銷所有鏈上的Rabby Swap 批准。目前團隊正在解決問題。對於那些沒有使用過Rabby Swap 的人來說,錢包是安全且不受影響的。
此前據Supremacy 安全團隊稱,DeBank 錢包Rabby 的Swap Router 疑似存在一個漏洞,可任意轉移用戶資產,建議盡快取消對Rabby 的授權。攻擊者地址為0xb687550842a24d7fbc6aad238fd7e0687ed59d55。
據慢霧安全團隊情報分析, Rabby Swap 合約被攻擊, 其合約中代幣兌換函數直接通過OpenZeppelin Address library 中的functionCallWithValue 函數進行外部調用,而調用的目標合約以及調用數據都可由用戶傳入,但合約中並未對用戶傳入的參數進行檢查,導致了任意外部調用問題。攻擊者利用此問題竊取對此合約授權過的用戶的資金。
截止目前,Rabby Swap 事件黑客已經獲利超19 萬美元,資金暫時未進一步轉移。黑客地址的手續費來源是Tornado Cash 10 BNB,使用工具有Multichain、ParaSwap、PancakeSwap、Uniswap V3、Trader Joe。慢霧MistTrack 將持續監控黑客地址並分析相關痕跡。
