TechFlowより、5月6日、セキュリティ機関Blockaid(@blockaid_)の監視によると、Ekubo Protocolがイーサリアム上で展開しているv2カスタム拡張コントラクトが継続的な攻撃を受けており、現時点で約140万米ドルの損失が発生しています。攻撃の根本原因は、当該拡張コントラクト内のIPayer.payコールバック関数がパラメータの出所を適切に制限しておらず、攻撃者がpayer、token、amountの各パラメータを任意に操作可能であったためです。これにより、ユーザーが既に承認済みのトークンを無断で転送される事態が発生しています。
Ekuboのコアプロトコルを利用するユーザーには影響はありませんが、当該v2コントラクト(0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd)をトークン支出先として承認済みのユーザーは、直ちにリスクにさらされています。Blockaidは、該当するユーザーに対し、速やかに承認を取消すよう勧告しています。
お気に入りに追加
SNSで共有
