Slow Mist: Rabby Swap có rủi ro cuộc gọi bên ngoài và tin tặc đã kiếm được hơn 190.000 đô la tiền lãi

Theo thông tin tình báo của nhóm bảo mật SlowMist, vào ngày 11 tháng 10 năm 2022, hợp đồng Swap của dự án ví Rabby trên chuỗi Ethereum đã bị tấn công và chức năng trao đổi mã thông báo trong hợp đồng được gọi trực tiếp từ bên ngoài thông qua chức năng functionCallWithValue trong OpenZeppelin Thư viện địa chỉ, trong khi gọi Cả hợp đồng đích và dữ liệu cuộc gọi đều có thể được người dùng chuyển vào, nhưng các tham số do người dùng chuyển vào không được kiểm tra trong hợp đồng, điều này dẫn đến bất kỳ sự cố cuộc gọi bên ngoài nào. Những kẻ tấn công khai thác sự cố này để đánh cắp tiền từ người dùng được ủy quyền cho hợp đồng này. Nhóm bảo mật SlowMist nhắc nhở những người dùng đã sử dụng hợp đồng nhanh chóng hủy ủy quyền hợp đồng và rút tiền để tránh rủi ro. Cho đến nay, các tin tặc trong sự cố Rabby Swap đã kiếm được hơn 190.000 đô la tiền lãi và số tiền này chưa được chuyển thêm vào thời điểm hiện tại. Nguồn phí xử lý địa chỉ của tin tặc là Tornado Cash 10 BNB và các công cụ được sử dụng bao gồm Multichain, ParaSwap, PancakeSwap, Uniswap V3 và Trader Joe. SlowMist MistTrack sẽ liên tục theo dõi địa chỉ của hacker và phân tích các dấu vết liên quan.