慢霧：Rubic 協議錯將 USDC 添至 Router 白名單，致授權合約用戶 USDC 遭竊取

ChainCatcher 消息，据慢霧安全團隊情報，Rubic 跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的 USDC 被竊取。慢霧安全團隊以簡訊的形式分享如下：

1. Rubic 是一個 DEX 跨鏈聚合器，用戶可以通過 RubicProxy 合約中的 routerCallNative 函數進行 Native Token 兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標 Router 是否在協議的白名單中。

2. 經過白名單檢查後才會對用戶傳入的目標 Router 進行調用，調用數據也由用戶外部傳入。

3. 不幸的是 USDC 也被添加到 Rubic 協議的 Router 白名單中，因此任意用戶都可以通過 RubicProxy 合約任意調用 USDC。

4. 惡意用戶利用此問題通過 routerCallNative 函數調用 USDC 合約將已授權給 RubicProxy 合約的用戶的 USDC 通過 transferFrom 接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在於 Rubic 協議錯誤的將 USDC 添加進 Router 白名單中，導致已授權給 RubicProxy 合約的用戶的 USDC 被竊取。(來源鏈接）