rubic

ChainCatcher のメッセージによると、公式の発表として、多チェーン DeFi プラットフォーム Rubic が Space ID の資金提供を受けたことを発表しました。具体的な金額はまだ公開されていません。また、Rubic はドメインソフトウェア開発キット Web3 Name SDK を統合したことも発表しており、これによりシームレスなドメイン使用サポートが提供され、ユーザーのクロスチェーン体験が向上します。

ChainCatcher のメッセージによると、The Block の報道で、ブロックチェーン顧客関係管理（CRM）ソリューションプロバイダーの MetaCRM が 250 万ドルのシードラウンドの資金調達を完了し、Cherubic Ventures が主導し、Ondine Capital、Red Building Capital、Tribe Accelerator、MR.Block、前 Asana CEO の Oliver Jay、Meta アジア太平洋地域の前マーケティング責任者 Deeps.D などが参加しました。MetaCRM は、新たな資金を新製品の発売、顧客の拡大とユーザーの成長を加速させるために使用し、製品のマルチチェーンデータをより良く統合し、ブランドとユーザーに強化されたブロックチェーン体験を提供すると述べています。報道によると、MetaCRM はオンチェーンとオフチェーンのデータを接続し、MetaForm、MetaDesk、MetaPanel を含むブロックチェーンネイティブのソリューションと分析ツールを作成しています。（出典リンク）

ChainCatcher のメッセージによると、Tech in Asia が報じたところでは、Web3 顧客関係管理プラットフォーム MetaCRM が 250 万ドルのシードラウンドの資金調達を完了し、Cherubic Ventures が主導し、Ondine Capital、Red Building Capital、Tribe Accelerator が参加しました。報告によれば、MetaCRM は台湾に本社を置き、その製品はオンチェーンとオフチェーンのデータを接続し、ブロックチェーンネイティブのソリューションと分析ツールを作成します。MetaCRM の主要製品の一つである MetaForm はフィードバックとデータを収集し、NFT 作成などの他の機能を提供します。さらに、MetaCRM は ChatGPT をシステムに統合する計画をしています。（出典リンク）

ChainCatcher のメッセージによると、SlowMist セキュリティチームの情報により、Rubic クロスチェーンアグリゲーター プロジェクトが攻撃を受け、ユーザーアカウント内の USDC が盗まれました。SlowMist セキュリティチームは以下のように簡潔に共有しています：Rubic は DEX クロスチェーンアグリゲーターであり、ユーザーは RubicProxy コントラクト内の routerCallNative 関数を通じてネイティブトークンの交換を行うことができます。交換を行う前に、ユーザーが渡した必要な呼び出しのターゲットルーターがプロトコルのホワイトリストに含まれているかどうかを確認します。ホワイトリストチェックを通過した後にのみ、ユーザーが渡したターゲットルーターに対して呼び出しが行われ、呼び出しデータもユーザーから外部に渡されます。不幸なことに、USDC も Rubic プロトコルのルーターのホワイトリストに追加されていたため、任意のユーザーが RubicProxy コントラクトを通じて USDC を自由に呼び出すことができました。悪意のあるユーザーはこの問題を利用し、routerCallNative 関数を通じて USDC コントラクトを呼び出し、RubicProxy コントラクトに対して権限を与えられたユーザーの USDC を transferFrom インターフェースを介して悪意のあるユーザーのアカウントに移転させました。今回の攻撃の根本的な原因は、Rubic プロトコルが誤って USDC をルーターのホワイトリストに追加したため、RubicProxy コントラクトに権限を与えられたユーザーの USDC が盗まれたことにあります。(出典リンク）

ChainCatcher のメッセージによると、ブロックチェーンセキュリティ監査会社 Beosin の Beosin EagleEye による監視で、Rubic プロジェクトが攻撃を受けたことが確認されました。Beosin セキュリティチームの分析によると、RubicProxy コントラクトの routerCallNative 関数はパラメータの検証が不足しており、_params に任意のパラメータを指定できるため、攻撃者は特定の integrator を使用して RubicProxy コントラクトがほぼゼロコストで自分が渡した関数 data を呼び出すことができました。攻撃者は routerCallNative 関数を呼び出すことで、RubicProxy コントラクトに全ての権限を与えた USDC を全て transferFrom で 0x001B アドレスに転送しました。盗まれた資金は約 1100 イーサリアムで、Beosin Trace による追跡で盗まれた資金は全て Tornado cash に転送されたことが確認されました。

ChainCatcher のメッセージによると、PeckShield の監視により、マルチチェーン交換プロトコル Rubic がハッキングされ、140 万ドル以上の損失を被ったとのことです。現在、攻撃者は 1100 ETH を Tornado Cash に移動させています。PeckShield のその後の調査によれば、USDC をサポートされているルーターに誤って追加したため、ハッキングが可能になったとのことです。また、routerCallNative に検証が欠けているため、ハッカーはすでに RubicProxy を承認したユーザーからすべての資金を引き出すことができました。（出典リンク）

ChainCatcher のメッセージによると、マルチチェーン交換プロトコル Rubic がツイートし、その管理者のウォレットアドレスが盗用されたと報告しています。このアドレスは RBC/BRBC クロスチェーンブリッジとステーキング報酬を管理しており、悪意のあるソフトウェアによって秘密鍵が盗まれた疑いがあります。攻撃者は Uniswap と PancakeSwap で約 3400 万 RBC/BRBC を売却したとのことですが、ユーザーのステーキング資金は安全であり、スマートコントラクトは利用されていません。チームはこの状況に対処しており、今後のステップについて適時通知する予定です。ステーキング報酬は数日後に回復します。（出典リンク）