認了「合約漏洞」害用戶被盜！SushiSwap：已追回3 百枚以太幣_區塊鏈:區塊鏈存證怎么弄

去中心化交易所SushiSwap因智能合約存在漏洞，導致其中一位用戶——FrogNation前財務長「0xSifu」被盜走1,800枚以太幣，損失超過300萬美元。對此，Sushiswap「主廚」、執行長JaredGray表示，Sushi的「RouteProcessor2」合約存在審批錯誤，證實為攻擊破口，正與安全團隊合作解決問題，呼吁用戶盡快撤銷對該合約的授權。

以太坊基金會啟動賬戶抽象相關項目資助活動，截止日期為3月31日:2月28日消息，以太坊基金會宣布在2023年2月27日至3月31日啟動新一輪資助，以鼓勵圍繞賬戶抽象和支持它的必要基礎設施進行開發、研究和教育，包括webauthn交易驗證、賬戶抽象區塊瀏覽器、捆綁器、p2p消息傳遞、定序器RPC等。

據悉，本輪贈款的目的是促進和啟動多個與賬戶抽象相關的新項目。單個提案的預算上限為50,000美元，項目可以申請標準贈款計劃以獲得額外資金。[2023/2/28 12:33:27]

JaredGrey后來在說明事態進展時提到，大部分受影響的資金都在白帽安全流程中被保住，已成功追回逾300枚失竊的以太幣，但還有近700枚以太幣仍被卡在Lido的獎勵金庫中，目前正與對方聯系以追討被盜資金。

阿根廷政府考慮對加密公司制定監管要求:金色財經報道，據知情人士透露，在加密交易所FTX倒閉三個月后，阿根廷政府正在考慮對加密公司制定監管要求。不愿透露姓名的人士表示，該國地方監管機構CNV正在研究對加密公司的啟動要求，例如償付能力證明。CNV正在計劃等待國會投票，這可能會在未來幾周內賦予其對加密行業的監督權。CNV發言人拒絕置評。（彭博社）[2023/2/8 11:53:34]

此外，SushiSwap技術長MatthewLilley澄清，SushiSwap協議和UI并無風險，所有RouterProcessor2合約的相關問題都已從前端移除，所有LPing/當前交易活動都可以安全進行，SushiSwap將持續監控、追討被盜資金。

三家資產管理公司計劃在香港推出加密貨幣期貨ETF:12月6日消息，繼香港表示將允許更多本地人接觸數字資產后，三家資產管理公司已申請為香港的散戶投資者推出交易平臺交易基金（ETF），將追蹤在芝商所交易投資的比特幣期貨和以太坊期貨。

根據消息人士透露，這三家資產管理公司分別是CSOP Asset Management（南方東英資產管理有限公司）、Samsung Asset Management（三星資產管理公司）和Mirae Asset Global Investment（未來資產環球投資 (香港) 有限公司）。（asia.nikkei）[2022/12/6 21:26:07]

區塊鏈和智能合約安全公司Peckshield解釋說，存在漏洞的合約「已被部署在多個區塊鏈中」以復制攻擊。

DefiLlama創辦人0xngmi提到，該攻擊似乎只針對那些在過去四天內使用過Sushiswap的用戶，并呼吁用戶把存在受影響錢包中的資金轉走。0xngmi表示，他已建立一個網站，可供用戶檢查地址是否受到SushiSwap合約攻擊事件的影響，同時知道哪些代幣的授權需要撤銷。

另根據慢霧安全團隊情報分析，SushiSwapRouteProcessor2遭到攻擊的事件經過如下：

根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查，導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。

由于在合約中并未對Pool是否合法進行檢查，直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。

惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數，由于lastCalledPool變量已被設置為Pool，因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。

攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數，以竊取其他已對RouteProcessor2授權的用戶的代幣。

Tags：區塊鏈Llama去中心化交易所區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢Llama幣是什么幣去中心化交易所違法嗎LFG去中心化交易所去中心化交易所英文單詞

BTC