Ekubo Protocol 自定义扩展合约遭攻击,已损失约 140 万美元
据安全机构 Blockaid(@blockaid_)监测,Ekubo Protocol 在以太坊上的一个 v2 自定义扩展合约正遭受持续攻击,目前已损失约 140 万美元。攻击根本原因在于该扩展的 IPayer.pay 回调未对参数来源进行有效限制,导致攻击者可控制 payer、token 及 amount 参数,进而任意转移已授权代币。
Ekubo 核心协议用户不受影响,但曾授权该 v2 合约(0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd)作为代币支出方的用户面临直接风险,Blockaid 建议相关用户立即撤销授权。
