SlowMist
SlowMist|2026年05月07日 03:22
SlowMist TI 警报 损失:~1,291.16 ETH + ~1,268,771 USDC + ~206,282 USDT + ~16.94 WBTC @trustedvolumes 根本原因:在 RFQ 实现的 fillOrder 函数(选择器 0x4112e1c2)中,签名验证检查使用调用者(taker)而不是订单的 maker 作为键来验证 _allowedSigners[msg.sender][signer],允许通过 registerAllowedOrderSigner 为攻击合约注册,并执行伪造订单以针对任何 maker。 攻击者 EOA:0xc3ebddea4f69df717a8f5c89e7cf20c1c0389100 受害者合约:0x9ba0cf1588e1dfa905ec948f7fe5104dd40eda31 漏洞合约:0x88eb28009351fb414a5746f5d8ca91cdc02760d8 攻击者通过 4 个伪造的 RFQ 订单,从托管合约中提取了资产,并利用无限授权进行操作。
+4
曾提及
分享至:

脈絡

熱門快訊

APP下載

X

Telegram

Facebook

Reddit

複製鏈接

熱門閱讀