慢雾:Numbers Protocolトークンプロジェクトに深刻な脆弱性が存在し攻撃を受けたため、速やかに権限を取り消す必要があります。
ChainCatcher のメッセージによると、SlowMist セキュリティチームの情報により、ETH チェーン上の Numbers Protocol (NUM)トークンプロジェクトが攻撃を受け、攻撃者は約 13,836 米ドルの利益を得たとのことです。
SlowMist セキュリティチームは以下のように速報を共有しました:
- 攻撃者は悪意のある anyToken トークンを作成し、攻撃契約(0xa68cce)を設定しました。この悪意のあるトークン契約の基底トークンは NUM トークンアドレスを指しています;
- 次に、Multichain クロスチェーンブリッジの Router 契約の anySwapOutUnderlyingWithPermit 関数を呼び出しました。この関数の機能は anyToken を入力し、基底トークンの permit 関数を呼び出して署名承認を行い、その後、承認されたユーザーの基底トークンを指定されたアドレスに交換することです。しかし、NUM トークンには permit 関数がなく、コールバック機能があるため、攻撃者が偽の署名を入力しても正常に戻り、取引が失敗しない結果、被害者のアドレスの NUM トークンが最終的に指定された攻撃契約に転送されることになりました;
- その後、攻撃者は得た NUM トークンを Uniswap で USDC に交換し、さらに ETH に換えて利益を得ました;
今回の攻撃の主な原因は、NUM トークンに permit 関数がなく、コールバック機能があるため、偽の署名を入力してクロスチェーンブリッジを欺くことができ、ユーザーの資産が予期せぬ形で転出されることになったためです。(出典リンク)
リスク警告 リスク警告
