Le contrat d'extension personnalisé du protocole Ekubo a été attaqué, entraînant une perte d'environ 1,4 million de dollars
Selon l'agence de sécurité Blockaid (@blockaid_), le protocole Ekubo subit actuellement des attaques sur un contrat d'extension personnalisé v2 sur Ethereum, entraînant une perte d'environ 1,4 million de dollars.
La cause profonde de l'attaque réside dans le fait que le rappel IPayer.pay de cette extension ne restreint pas efficacement la source des paramètres, permettant aux attaquants de contrôler les paramètres de payeur, de jeton et de montant, transférant ainsi arbitrairement des jetons autorisés. Les utilisateurs du protocole Ekubo principal ne sont pas affectés, mais ceux ayant autorisé ce contrat v2 en tant que dépensier de jetons sont directement exposés. Blockaid recommande aux utilisateurs concernés de révoquer immédiatement leur autorisation.
