据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9 ...

安全团队：建议用户取消不同链上Sushiswap RouteProcessor2合约的授权

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月9日， Sushiswap项目遭到攻击，部分授权用户资产已被转移。 根本原因是由于合约的值lastCalledPool重置在校验之前，导致合约中针对pool的检查失效，从而允许攻击者swap时指定恶意pool转出授权用户资金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8为例： 1.攻击者在约30天前创建了恶意pool合约 2.调用SushiSwap的路由函数processRoute进行swap，指定了创建的恶意合约为pool合约 3.最后在swap后恶意合约调用uniswapV3SwapCallback，指定tokenIn为WETH，from地址为受害者用户地址(sifuvision.eth)，从而利用受害用户对路由合约的授权转移走资金。 建议用户取消不同链上Sushiswap RouteProcessor2合约的授权。