Beosin：Rubic 被攻击事件简析

ChainCatcher 消息，据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 监测显示，Rubic 项目被攻击，Beosin 安全团队分析发现 RubicProxy 合约的 routerCallNative 函数由于缺乏参数校验，_params 可以指定任意的参数，攻击者可以使用特定的 integrator 来让 RubicProxy 合约可以几乎零成本的调用自己传入的函数 data。

攻击者通过调用 routerCallNative 函数，把所有授权给 RubicProxy 合约的 USDC 全部通过 transferFrom 转入了 0x001B 地址，被盗资金近 1100 个以太坊，通过 Beosin Trace 追踪发现被盗资金已经全部转入了 Tornado cash。