느린 안개: Rubic 프로토콜이 USDC를 라우터 화이트리스트에 잘못 추가하여 권한 계약 사용자 USDC가 도난당함
ChainCatcher 메시지에 따르면, 느린 안개 보안 팀의 정보에 의하면 Rubic 크로스 체인 집계기 프로젝트가 공격을 받아 사용자 계정의 USDC가 도난당했습니다. 느린 안개 보안 팀은 다음과 같은 내용을 간단한 메시지 형식으로 공유했습니다:
Rubic은 DEX 크로스 체인 집계기로, 사용자는 RubicProxy 계약의 routerCallNative 함수를 통해 네이티브 토큰을 교환할 수 있습니다. 교환을 진행하기 전에 사용자가 전달한 호출 대상 라우터가 프로토콜의 화이트리스트에 있는지 먼저 확인합니다.
화이트리스트 검사를 통과한 후에만 사용자가 전달한 대상 라우터를 호출하며, 호출 데이터도 사용자가 외부에서 전달합니다.
불행히도 USDC도 Rubic 프로토콜의 라우터 화이트리스트에 추가되어 있어, 임의의 사용자가 RubicProxy 계약을 통해 USDC를 임의로 호출할 수 있습니다.
악의적인 사용자는 이 문제를 이용해 routerCallNative 함수를 통해 USDC 계약을 호출하여 RubicProxy 계약에 권한을 부여한 사용자의 USDC를 transferFrom 인터페이스를 통해 악의적인 사용자 계정으로 전송했습니다.
이번 공격의 근본 원인은 Rubic 프로토콜이 USDC를 잘못하여 라우터 화이트리스트에 추가한 것으로, 이로 인해 RubicProxy 계약에 권한을 부여한 사용자의 USDC가 도난당했습니다. (출처 링크)
체인캐처(ChainCatcher)는 독자들에게 블록체인을 이성적으로 바라보고, 리스크 인식을 실제로 향상시키며, 다양한 가상 토큰 발행 및 조작에 경계해야 함을 상기시킵니다. 사이트 내 모든 콘텐츠는 시장 정보나 관련 당사자의 의견일 뿐이며 어떠한 형태의 투자 조언도 제공하지 않습니다. 만약 사이트 내에서 민감한 정보를 발견하면 “신고하기”를 클릭하여 신속하게 처리할 것입니다.
