Beosin: تعرض عقد AnyswapV4Router لشركة Multichain للهجوم من خلال هجوم أمامي ، وحقق المهاجم ربحًا يبلغ حوالي 130 ألف دولار أمريكي

وفقًا لرصد Beosin EagleEye للمخاطر الأمنية والإنذار المبكر ومراقبة منصة الحظر لشركة تدقيق أمن blockchain Beosin ، تعرض عقد AnyswapV4Router الخاص بـ Multichain لهجوم سريع. في 15 فبراير 2023 ، استخدم المهاجم عقد MEV (0xd050) في الوضع العادي قبل تنفيذ المعاملة (قام المستخدم بتفويض WETH ولكنه لم يقم بالتحويل بعد) ، يتم استدعاء وظيفة anySwapOutUnderlyingWithPermit لعقد AnyswapV4Router أولاً لإجراء نقل ترخيص التوقيع. على الرغم من أن الوظيفة تستخدم التحقق من توقيع تصريح الرمز المميز ، لا تعتبر WETH المسروقة ذات صلة. تقوم وظيفة التحقق من التوقيع فقط بتشغيل وظيفة الإيداع في حالة الرجوع. في استدعاءات الوظائف اللاحقة ، يمكن للمهاجم استخدام وظيفة SafeTransferFrom مباشرة لنقل WETH المصرح به من قبل العنوان الأساسي إلى العقد المهاجم إلى عقد الهجوم دون التحقق من التوقيع. حقق المهاجم ربحًا قدره 87 Ethereum ، أي حوالي 130،000 دولار أمريكي. وفقًا لـ Beosin Trace ، أدخل حوالي 70 Ethereum من الأموال المسروقة عنوان 0x690b ، وما زال هناك حوالي 17 Ethereum في عقد MEVBOT.