慢霧餘弦:Ekubo合約遭惡意利用,已有用戶損失17枚WBTC
慢霧創始人餘弦於 X 平臺發文表示,“Ekubo 有關合約被惡意利用。原因是如果用戶之前將相關代幣授權給:0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd;如這位用戶 0x765DEC 的這筆 WBTC 無限授權(158 天前):攻擊者可指定已授權用戶作爲 payer,在 payCallback 中讓該合約調用 WBTC transferFrom(victim, Ekubo Core, amount),再通過 Ekubo Core(0xe0e0e08A6A4b9Dc7bD67BCB7aadE5cF48157d444) 的 withdraw/pay 平賬流程把資產轉給攻擊者。這個操作執行了 85 次,每次 0.2 WBTC,最終用戶 0x765DEC 損失 17 WBTC。建議用戶儘快安裝官方提醒檢查以下合約授權:0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum: 0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)。”
