TechFlow rapporte qu’un contrat d’extension personnalisé de la version 2 du protocole Ekubo sur Ethereum est actuellement la cible d’une attaque continue, selon les observations de l’organisme de sécurité Blockaid (@blockaid_). Au 6 mai, les pertes s’élèvent à environ 1,4 million de dollars américains. La cause fondamentale de cette attaque réside dans le fait que la fonction de rappel IPayer.pay de cette extension ne restreint pas efficacement l’origine des paramètres, ce qui permet à l’attaquant de contrôler les paramètres payer, token et amount, et ainsi de transférer arbitrairement des jetons déjà autorisés.
Les utilisateurs du protocole central d’Ekubo ne sont pas affectés. Toutefois, les utilisateurs ayant accordé une autorisation à ce contrat de version 2 (à l’adresse 0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd) en tant qu’entité autorisée à dépenser des jetons encourent un risque direct. Blockaid recommande vivement à ces utilisateurs de révoquer immédiatement leur autorisation.
