PANews 5月6日消息，据Blockaid监测，Ekubo Protocol在以太坊上的自定义扩展合约凌晨遭受攻击，目前已被盗约140万美元。Ekubo用户本身不受影响，只有授权该V2合约作为代币支出者的用户存在风险。漏洞根源在于Ekubo扩展合约的IPayer.pay回调函数中，token.transferFrom的payer、token和amount参数直接来自锁定载荷，由攻击者控制。合约未检查payer是否为锁定的发起者或授权的支付方，攻击者可利用用户此前对该合约的ERC-20授权，通过Core锁定路由至扩展合约，将任意授权用户设为payer并将自己设为提款接收方，从而盗取资产。

此前消息，Ekubo：Ekubo在EVM链上的Swap路由合约发生安全事件，建议撤销相关地址授权。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。