2022年10月11日,ETH链上Rabby钱包项目的Swap合约遭到攻击。 通过 OpenZeppelin 地址库中的 functionCallWithValue 函数直接对外调用合约中的代币兑换函数。 被调用的目标合约和调用数据可以由用户传入,但用户传入的参数并没有在合约中进行检查,导致外部调用出现问题。
攻击者利用此问题从本合同授权的用户那里窃取资金。
提醒已使用合约的用户快速取消合约授权,提现资金,规避风险。
到目前为止,Rabby Swap 黑客已经赚了超过 190,000 美元,没有进一步的资金转移。
被黑地址的费用来源是 Tornado Cash 10 BNB,使用的工具有 Multichain、ParaSwap、PancakeSwap、Uniswap V3 和 Trader Joe。
