[imtoken清退大陆用户]bitpie钱包|多链兑换协议Rubic遭到黑客攻击，损失超140万美元

PANews 12月25日消息，据安全机构PeckShield监测，多链兑换协议Rubic遭到黑客攻击，损失超140万美元，，攻击者已将1100枚ETH转入Tornado Cash混币协议。

Exploit tx:
https://etherscan.io/tx/0x9a97d85642f956ad7a6b852cf7bed6f9669e2c2815f3279855acf7f1328e7d46
3. 但不幸的是 USDC 代币也被添加到 Rubic 协议的 Router 白名单中，因此任意用户都可以通过 RubicProxy 合约任意调用 USDC 代币。
4. 因此恶意用户利用此问题通过 routerCallNative 函数调用 USDC 合约将已授权给 RubicProxy 合约的用户的 USDC 代币通过 transferFrom 接口转移至恶意用户账户中。

Add USDC to available router:
https://etherscan.io/tx/0x30679e7b6b410fb78368f5fb6e4c203e44d81c66ae9014c797e40856be1bbe66

1. Rubic 是一个 DEX 跨链聚合器，用户可以通过 RubicProxy 合约中的 routerCallNative 函数进行 Native 代币兑换。在进行兑换前，会先检查用户传入的所需调用的目标 Router 是否在协议的白名单中。

慢雾安全团队分析了该被盗过程，认为此次攻击的根本原因在于 Rubic 协议错误的将 USDC 代币添加进 Router 白名单中，导致已授权给 RubicProxy 合约的用户的 USDC 代币被窃取。详情如下：

2. 经过白名单检查后才会对用户传入的目标 Router 进行调用，调用数据也由用户外部传入。

参考：