吴说获悉,安全公司 Blockaid 表示,其检测到 Ekubo Protocol 在 Ethereum 上的一个自定义扩展合约遭利用,目前已造成约 140 万美元损失。Blockaid 称,该漏洞源于扩展合约在执行支付回调时,未验证 payer 是否为 lock 发起者或授权 payer,攻击者可借此通过 transferFrom 转走已向该合约授予 ERC-20 allowance 的用户资金;目前仅授权该 v2 合约作为 spender 的用户面临风险。
吴说获悉,安全公司 Blockaid 表示,其检测到 Ekubo Protocol 在 Ethereum 上的一个自定义扩展合约遭利用,目前已造成约 140 万美元损失。Blockaid 称,该漏洞源于扩展合约在执行支付回调时,未验证 payer 是否为 lock 发起者或授权 payer,攻击者可借此通过 transferFrom 转走已向该合约授予 ERC-20 allowance 的用户资金;目前仅授权该 v2 合约作为 spender 的用户面临风险。