Beosin EagleEye: Transit Finance が攻撃事件に遭遇した分析

ChainCatcher のメッセージによると、Beosin 傘下の EagleEye セキュリティリスク監視、警告および阻止プラットフォームの監視結果、Transit Finance プロジェクトが攻撃を受けたことが示されています。Beosin セキュリティチームの分析によれば、Transit Finance の SwapRouter にある exactInputV3Swap 関数は、プール入力の合法性チェックが不足しているため、攻撃を受けました。0x93ae5…6de1081 の取引を例に挙げると、攻撃者は偽造されたプールと WBNB/BUSD プールのパスを入力し、最初の交換で actualAmountIn を制御しました。その結果、SwapRouter は偽造された actualAmountIn を WBNB/BUSD プールでの交換の初期値として使用し、SwapRouter 内の BUSD を盗みました。