2022年10月11日,ETH鏈上Rabby錢包項目的Swap合約遭到攻擊。通過 OpenZeppelin 地址庫中的 functionCallWithValue 函數直接對外調用合約中的代幣兌換函數。被調用的目標合約和調用數據可以由用戶傳入,但用戶傳入的參數並沒有在合約中進行檢查,導致外部調用出現問題。
攻擊者利用此問題從本合同授權的用戶那裡竊取資金。
提醒已使用合約的用戶快速取消合約授權,提現資金,規避風險。
到目前為止,Rabby Swap 黑客已經賺了超過 190,000 美元,沒有進一步的資金轉移。
被黑地址的費用來源是 Tornado Cash 10 BNB,使用的工具有 Multichain、ParaSwap、PancakeSwap、Uniswap V3 和 Trader Joe。
