PANews 2月15日消息,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平台監測顯示,2023年2月15日,Multichain的AnyswapV4Router合約遭遇搶跑攻擊。

經分析,攻擊者利用MEV合約(0xd050)在正常的交易執行之前(用戶授權了WETH但是還未進行轉賬)搶先調用了AnyswapV4Router合約的anySwapOutUnderlyingWithPermit函數進行簽名授權轉賬,雖然函數利用了代幣的permit簽名校驗,但是本次被盜的WETH卻並沒有相關簽名校驗函數,僅僅觸發了一個fallback中的deposit函數。在後續的函數調用中攻擊者就能夠無需簽名校驗直接利用safeTransferFrom函數將_underlying地址授權給被攻擊合約的WETH轉移到攻擊合約之中。

攻擊者獲利約87個以太坊,約13萬美元,Beosin Trace追踪發現目前被盜資金有約70個以太坊進入了0x690b地址,還有約17個以太坊還留在MEVBOT的合約中。

交易哈希:0x192e2f19ab497f93ed32b2ed205c4b2ff628c82e2f236b26bec081ac361be47f。