TechFlowより、4月29日、チェーン上アナリストのPeckShield(@PeckShieldAlert)が監視したところ、あるユーザーが保有するAlchemix YearnのyvVaultポジション(トークン:$yvWETH)が攻撃を受け、損失額は約100万米ドルと推定されています。
この攻撃の原因は、当該ユーザーが以前に検証済みでないコントラクト(コントラクトアドレス:0x143a)に対してトークン使用許諾(approve)を行っていたことにあります。このコントラクトは10日前にデプロイされました。逆コンパイルによる解析の結果、このコントラクトには「任意の関数呼び出し(arbitrary call execution)」を実行可能な脆弱性が存在することが判明しました。攻撃者はこの脆弱性を悪用し、被害者のyvVaultポジションを不正に転送することに成功しました。
現在、PeckShieldはこの脆弱性の具体的なロジックを公開しています。ユーザーの皆様には、未知または未検証のコントラクトに対するトークン使用許諾を確認・解除することを強く推奨します。これにより、資産リスクを低減できます。
お気に入りに追加
SNSで共有
