金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2 ...

安全团队：Multichain的Anyswap V4 Router合约遭遇抢跑攻击，攻击者获利约13万美元

金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年2月15日，攻击者利用MEV合约(0xd050)在正常的交易执行之前(用户授权了WETH但是还未进行转账)抢先调用了AnyswapV4Router合约的anySwapOutUnderlyingWithPermit函数进行签名授权转账，虽然函数利用了代币的permit签名校验，但是本次被盗的WETH却并没有相关签名校验函数，仅仅触发了一个fallback中的deposit函数。在后续的函数调用中攻击者就能够无需签名校验直接利用safeTransferFrom函数将_underlying地址授权给被攻击合约的WETH转移到攻击合约之中。攻击者获利约87个以太坊，约13万美元，Beosin Trace追踪发现目前被盗资金有约70个以太坊进入了0x690b地址，还有约17个以太坊还留在MEVBOT的合约中。 交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f