Beosin：Rubic 공격 사건 간략 분석

ChainCatcher 메시지에 따르면, 블록체인 보안 감사 회사 Beosin의 Beosin EagleEye 모니터링 결과, Rubic 프로젝트가 공격을 받았으며, Beosin 보안 팀의 분석에 따르면 RubicProxy 계약의 routerCallNative 함수는 매개변수 검증이 부족하여 _params가 임의의 매개변수를 지정할 수 있으며, 공격자는 특정 integrator를 사용하여 RubicProxy 계약이 거의 제로 비용으로 자신이 전달한 함수 data를 호출할 수 있게 합니다.

공격자는 routerCallNative 함수를 호출하여 RubicProxy 계약에 모든 권한을 부여한 USDC를 모두 transferFrom을 통해 0x001B 주소로 전송하였으며, 도난당한 자금은 거의 1100개의 이더리움으로, Beosin Trace를 통해 추적한 결과 도난당한 자금은 모두 Tornado cash로 전송된 것으로 확인되었습니다.