去中心化交易所:认了「合约漏洞」害用户被盗！SushiSwap：已追回3 百枚以太币

去中心化交易所SushiSwap因智能合约存在漏洞，导致其中一位用户——FrogNation前财务长「0xSifu」被盗走1,800枚以太币，损失超过300万美元。对此，Sushiswap「主厨」、执行长JaredGray表示，Sushi的「RouteProcessor2」合约存在审批错误，证实为攻击破口，正与安全团队合作解决问题，呼吁用户尽快撤销对该合约的授权。

法院裁定ConsenSys AG股东对资产转让有投票表决的权利:12月21日消息，瑞士楚格州州法院的一名法官裁定允许ConsenSys AG股东对Metamask、Infura等资产转让给ConsenSys Software Inc的交易进行投票表决。一旦股东就此资产转让进行表决，便可以在法庭上对其提出质疑，这将使股东能够合法陈述ConsenSys最有价值的资产没有有效转让，实际上仍由ConsenSys AG拥有。

据悉，ConsenSys AG由Joseph Lubin于2014年创立，股权被授予大量员工以换取减少的工资。2020年执行的一项销售和出资协议将大量资产从ConsenSys AG转移到新创建的实体ConsenSys Software，但没有通知股东。ConsenSys Software随后完成总计7.15亿美元的三轮融资，报告的最终估值为70亿美元。

此前3月份消息，35名股东要求对公司进行审计并调查ConsenSys创始人Joseph Lubin的交易。ConsenSys前雇员Arthur Falls称，基础知识产权和子公司被非法从ConsenSys AG转移到新实体ConsenSys Software Inc并用于筹款。（PRNewswire）[2022/12/21 21:57:55]

JaredGrey后来在说明事态进展时提到，大部分受影响的资金都在白帽安全流程中被保住，已成功追回逾300枚失窃的以太币，但还有近700枚以太币仍被卡在Lido的奖励金库中，目前正与对方联系以追讨被盗资金。

元宇宙身份平台Ready Player Me完成5600万美元B轮融资，a16z领投:8月23日消息，元宇宙身份平台 Ready Player Me 完成 5600 万美元融资，此轮融资由 a16z 领投，Roblox 的联合创始人 David Baszucki、Twitch 联合创始人 Justin Kan、King Games 联合创始人 Sebastian Knutsson 和 Riccardo Zacconi、体育和娱乐公司 Endeavour、Kevin Hart 和 Hartbeat Ventures 等参投。（TechCrunch）[2022/8/23 12:43:32]

此外，SushiSwap技术长MatthewLilley澄清，SushiSwap协议和UI并无风险，所有RouterProcessor2合约的相关问题都已从前端移除，所有LPing/当前交易活动都可以安全进行，SushiSwap将持续监控、追讨被盗资金。

幻想体育平台Fanfury：FURY代币将很快上线Juno，请用户尽快验证Terra地址:7月8日消息，幻想体育平台Fanfury发推称，FURY代币将很快上线Juno。请所有用户尽快验证各自的Terra地址，建议在7月13日前完成，否则可能会失去粉丝俱乐部的认领资格以及延迟收到代币的时间。[2022/7/8 2:00:37]

区块链和智能合约安全公司Peckshield解释说，存在漏洞的合约「已被部署在多个区块链中」以复制攻击。

DefiLlama创办人0xngmi提到，该攻击似乎只针对那些在过去四天内使用过Sushiswap的用户，并呼吁用户把存在受影响钱包中的资金转走。0xngmi表示，他已建立一个网站，可供用户检查地址是否受到SushiSwap合约攻击事件的影响，同时知道哪些代币的授权需要撤销。

另根据慢雾安全团队情报分析，SushiSwapRouteProcessor2遭到攻击的事件经过如下：

根本原因在于ProcessRoute未对用户传入的route参数进行任何检查，导致攻击者利用此问题构造了恶意的route参数使合约读取的Pool是由攻击者创建的。

由于在合约中并未对Pool是否合法进行检查，直接将lastCalledPool变量设置为Pool并调用了Pool的swap函数。

恶意的Pool在其swap函数中回调了RouteProcessor2的uniswapV3SwapCallback函数，由于lastCalledPool变量已被设置为Pool，因此uniswapV3SwapCallback中对msg.sender的检查被绕过。

攻击者利用此问题在恶意Pool回调uniswapV3SwapCallback函数时构造了代币转移的参数，以窃取其他已对RouteProcessor2授权的用户的代币。

标签：区块链Llama去中心化交易所区块链工程专业学什么区块链存证怎么弄区块链技术发展现状和趋势Llama币是什么币去中心化交易所违法吗LFG去中心化交易所去中心化交易所英文单词

欧易okex官网热门资讯