SWAP:雪上加霜 處于“自救期”的SushiSwap是如何被黑客攻擊的？

原文：《正處于“刮骨療” 自救的SushiSwap，今日又是如何被黑客攻擊的？》

在嚴峻的財務壓力下，黑客又來一擊，那在黑客的打擊下，SushiSwap能否走出自救的道路？

2023年4月9日，據BeosinEagleEye態勢感知平臺消息， SushiswapRouteProcessor2合約遭受攻擊，部分對合約授權過的用戶資金被黑客轉移，涉及金額約1800ETH，約334萬美元。

據了解，SushiSwap 流動性挖礦項目，克隆自 Uniswap，最大的不同是其發行了 SUSHI 代幣，團隊希望用 SUSHI 通證經濟模型，優化 Uniswap。但 Uniswap 創始人 Hayden Adams 表示，Sushi 只是任何有能力的開發人員通過一天的努力創造出來的東西，試圖利用炒作和 Uniswap 創造的價值來獲利。

聊天應用程序Discord宣布裁員4%:金色財經報道，據多份報道稱，作為公司重組工作的一部分，聊天應用程序Discord已解雇近40名員工，占員工總數的4%。幾名Discord前員工在X和LinkedIn上發帖表示，他們受到了裁員的影響。裁員影響了營銷、設計和娛樂合作團隊的人員。該公司在一份聲明中證實了這一消息，并補充說，公司專注于長期增長。[2023/8/4 16:18:15]

其實在本次攻擊之前，這個項目還有另外的“坎坷”，去年12 月 6 日，上任僅兩個月的 Sushi 新任“主廚” Jared Grey 于治理論壇發起了一項新提案。在該提案中，Jared 首次向外界披露了 Sushi 當前嚴峻的財務狀況，并提出了一個暫時性的自救方案。（相關閱讀：《Sushiswap財庫告急，新任“主廚”按下“自救鍵”》）

美眾議院金融服務委員會發布穩定幣監管提案草案:6月9日消息，美國眾議院金融服務委員會發布了穩定幣監管主要立法提案的新草案，會于 6 月 13 日的委員會聽證會上進一步討論。該草案將要求美聯儲制定發行穩定幣的要求，但仍將讓州監管機構監督發行這些代幣的公司，還賦予美聯儲一些額外權力，包括在緊急情況下干預受國家監管的發行人的權力。各州也可以將其監管職責移交給聯邦監管機構。[2023/6/9 21:26:01]

正是在這樣的壓力下，黑客又來一擊，那在黑客的打擊下，SushiSwap能否走出自救的道路？

我們以其中一筆攻擊交易進行事件分析。

Cobie：一未知地址從FTX轉出了2100萬美元的USDT:金色財經報道，知名加密貨幣交易員Cobie在社交媒體上稱，誰能解釋這個地址發生了什么，它正在從FTX提取數百萬的Tether，并將其發送到0x18df7開頭的地址，目前提取了2100萬美元。在BSC鏈上也是如此。[2022/11/11 12:51:00]

0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8

攻擊者地址

0x719cdb61e217de6754ee8fc958f2866d61d565cf

攻擊合約

0x000000C0524F353223D94fb76efab586a2Ff8664

double jump.tokyo旗下N Suite宣布加入zkSync生態:10月3日消息，日本加密游戲初創公司double jump.tokyo宣布與以太坊L2可擴展解決方案zkSync達成合作，旗下N Suite也將被納入zkSync生態。N Suite總監Hirofumi Aoki稱，使用zkSync將降低交易成本、提高交易速度并增強用戶體驗，N Suite的目標和潛在客戶主要是NFT項目方，他們一直以來都在尋求可擴展網絡來部署其項目，整合zkSync生態可以釋放大量用例并加速業務拓展。[2022/10/3 18:38:09]

被攻擊合約

0x044b75f554b886a065b9567891e45c79542d7357

被攻擊用戶

烏克蘭將根據歐盟加密規則修改虛擬資產法:金色財經報道，烏克蘭正在更新適用于加密貨幣的法律法案，以使該國的立法與歐洲標準相一致。基輔的幾個政府機構正在準備修改今年早些時候成為法律的“關于虛擬資產”的法案。據悉，烏克蘭將根據歐盟加密資產市場（MiCA）立法方案的規定進行修訂。今年2月，烏克蘭通過了修訂后的虛擬資產法案，烏克蘭總統Zelenskyy在3月將其簽署為法律。（Bitcoin.com）[2022/9/21 7:10:35]

0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1

1.攻擊者地址(0x1876…CDd1)約31天前部署了攻擊合約。

2.攻擊者發起攻擊交易，首先攻擊者調用了processRoute函數，進行兌換，該函數可以由調用者指定使用哪種路由，這里攻擊者選擇的是processMyERC20。

3.之后正常執行到swap函數邏輯中，執行的功能是swapUniV3。

4. 在這里可以看到，pool的值是由stream解析而來，而stream參數是用戶所能控制的，這是漏洞的關鍵原因，這里lastCalledPool的值當然也是被一并操控的，接著就進入到攻擊者指定的惡意pool地址的swap函數中去進行相關處理了。

5.Swap完成之后，由于此時lastCalledPool的值已經被攻擊者設置成為了惡意pool的地址，所以惡意合約調用uniswapV3SwapCallback函數時校驗能夠通過，并且該函數驗證之后就重置了lastCalledPool的值為0x1，導致swapUniV3函數中最后的判斷也是可有可無的，最后可以成功轉走指定的from地址的資金，這里為100個WETH。

本次事件攻擊者主要利用了合約訪問控制不足的問題，未對重要參數和調用者進行有效的限制，導致攻擊者可傳入惡意的地址參數繞過限制，產生意外的危害。

針對本次事件，Beosin安全團隊建議：

1.在合約開發時，調用外部合約時應視業務情況限制用戶控制的參數，避免由用戶傳入惡意地址參數造成風險。

2.用戶在與合約交互時應注意最小化授權，即僅授權單筆交易中實際需要的數量，避免合約出現安全問題導致賬戶內資金損失。

Beosin

企業專欄

閱讀更多

金色財經 善歐巴

Chainlink預言機

金色早8點

白話區塊鏈

Odaily星球日報

Arcane Labs

歐科云鏈

深潮TechFlow

BTCStudy

MarsBit

Tags：SWAPSUSHISHIUSHSwaprolSUSHIBEARshibmerican幣持幣人數sushi幣值得長期持有嗎

Fil