在接受 crypto.news 的独家采访时,名为 Trust 的匿名白帽黑客分享了有关最近一次利用 RouteProcessor2 合约漏洞的黑客攻击的重要细节。
4 月 10 日,Trust 对 Sifu 持有的资金进行了先发制人的黑客攻击,从而节省了大量用户资金,只是在将这些资金转移到安全地点后才将其返还。
不幸的是,恶意行为者能够模仿攻击并利用该漏洞攻击其他持有者。
SushiSwap 受到高级攻击
Trust 解释说,四天前部署的 RouteProcessor2 合约旨在监督各种类型的代币 SushiSwap (SUSHI) 交换。 用户预先批准合约以使用他们的 ERC20 代币,然后调用 swap() 函数执行交换。
但是,合约以不安全的方式与 UniswapV3 池交互,因为它完全信任用户提供的“池”地址。
这种疏忽允许不良池向合约提供有关转账来源和金额的虚假信息,从而使任何用户都可以伪造交换并获得对另一个用户的全部批准金额的访问权。
Trust 表示,任何合理的审计公司都应该检测到此漏洞,这引发了人们对生产代码库成熟度的担忧。
黑客还提到了高度复杂的机器人程序的存在,这些机器人程序复制了他们的资金节省交易来窃取资产,强调了这些机器人程序的广泛资源和功能,这些机器人程序被称为矿工可提取价值 (MEV) 机器人程序。
出于多种原因,Trust 选择执行先发制人的黑客攻击。
首先,他在黑客入侵前一个半小时提交了一份完整的漏洞报告,但没有收到任何回复。
二是怕开发组周末没空。
第三,他们知道合同无法修复,只能被黑客攻击或撤销用户许可。
最后,他们优先保存了一个地址,即 Sifu 的地址,该地址将大部分资金置于风险之中。 Trust 也没有预料到 MEV 机器人在这种情况下的复杂性。
鉴于这些启示,加密社区必须重新评估安全实践并优先对智能合约进行全面审计,以防止此类漏洞被利用。
Trust 的行动表明了白帽黑客在生态系统中的重要性,他们致力于保护用户资金并提高整体安全性。