Ekubo Protocol 自定義擴展合約遭攻擊,已損失約 140 萬美元
據安全機構 Blockaid(@blockaid_)監測,Ekubo Protocol 在以太坊上的一個 v2 自定義擴展合約正遭受持續攻擊,目前已損失約 140 萬美元。攻擊根本原因在於該擴展的 IPayer.pay 回調未對參數來源進行有效限制,導致攻擊者可控制 payer、token 及 amount 參數,進而任意轉移已授權代幣。
Ekubo 核心協議用戶不受影響,但曾授權該 v2 合約(0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd)作爲代幣支出方的用戶面臨直接風險,Blockaid 建議相關用戶立即撤銷授權。
