Llama:認了「合約漏洞」害用戶被盜！SushiSwap：已追回3 百枚以太幣_區塊鏈存證怎么弄

去中心化交易所SushiSwap因智能合約存在漏洞，導致其中一位用戶——FrogNation前財務長「0xSifu」被盜走1,800枚以太幣，損失超過300萬美元。對此，Sushiswap「主廚」、執行長JaredGray表示，Sushi的「RouteProcessor2」合約存在審批錯誤，證實為攻擊破口，正與安全團隊合作解決問題，呼吁用戶盡快撤銷對該合約的授權。

CESS Senior Ambassador Andy：DeFi、游戲和內容創作者平臺是帶來Web3用戶的主要方向:金色財經現場報道，在8月8日由金色財經主辦的金色沙龍活動中，CESS Senior Ambassador Andy在《下一個十億級Web3用戶來自哪里》圓桌會議中表示，能帶來用戶的主要有三個方向。

首先是DeFi。DeFi有兩方面，一個是支付，一個是DEX，這都是硬需求。昨天Paypal發的穩定幣，特別是跨境支付、跨國支付，會很方便。以后用DEX做交易，這是趨勢。

第二個看好的賽道是之前很多嘉賓提到過的游戲，因為游戲可以跟金融結合得比較好。而且游戲在全世界范圍內，也有很多用戶。

第三個是內容創作者平臺。我們反觀一下Web2.0能留住客戶的APP，有微信，都是靠內容留住客戶的。所以把用戶吸引到Web3.0，要靠內容。[2023/8/8 21:32:38]

JaredGrey后來在說明事態進展時提到，大部分受影響的資金都在白帽安全流程中被保住，已成功追回逾300枚失竊的以太幣，但還有近700枚以太幣仍被卡在Lido的獎勵金庫中，目前正與對方聯系以追討被盜資金。

觀點：FTX破產不會蔓延到其他金融市場:金色財經報道，花旗分析師Joseph Ayoub表示，FTX破產不太可能蔓延到更廣泛的金融市場，主要是因為加密市場規模只有8300億美元左右，與43萬億美元的美國股市相比較小。

Joseph Ayoub補充稱，其他加密貨幣交易平臺可能會利用FTX倒閉搶占市場份額，但與2008年金融危機不同，加密行業沒有中央銀行救助，因此可能需要加密貨幣市場內部花很長時間才能解決。（Business Insider）[2022/11/14 13:00:14]

此外，SushiSwap技術長MatthewLilley澄清，SushiSwap協議和UI并無風險，所有RouterProcessor2合約的相關問題都已從前端移除，所有LPing/當前交易活動都可以安全進行，SushiSwap將持續監控、追討被盜資金。

zkSync發布V2更新信息：添加抽象賬戶以及增加與以太坊EVM的兼容性:6月23日消息，據官方公告，基于ZKRollup的以太坊二層擴容解決方案zkSync今日發布V2更新，其結構變化旨在改善用戶體驗，增加與以太坊EVM的兼容性，并升級zkSync v2測試網絡的性能。

其中，此次升級添加了“抽象賬戶（Account Abstraction）”，可以減少賬戶類型的數量，或者減少可以發送交易的ETH余額的實體的數量。帳戶抽象使其能夠使授權可編程，從而使錢包和協議設計更加多樣化，改善了用戶體驗。此次升級還添加了L2至L1的消息傳遞，并添加了對交易屬性msg.value 的支持。此外，L2至L1消息的添加使其能夠簡化協議接口，并將硬編碼操作替換為通用的L1互通L2通信。

為了實現這些更改，zkSync 2.0測試網已重置。 這意味著合約必須重新部署，賬戶余額和交易的狀態已經重置。[2022/6/23 1:26:02]

區塊鏈和智能合約安全公司Peckshield解釋說，存在漏洞的合約「已被部署在多個區塊鏈中」以復制攻擊。

DefiLlama創辦人0xngmi提到，該攻擊似乎只針對那些在過去四天內使用過Sushiswap的用戶，并呼吁用戶把存在受影響錢包中的資金轉走。0xngmi表示，他已建立一個網站，可供用戶檢查地址是否受到SushiSwap合約攻擊事件的影響，同時知道哪些代幣的授權需要撤銷。

另根據慢霧安全團隊情報分析，SushiSwapRouteProcessor2遭到攻擊的事件經過如下：

根本原因在于ProcessRoute未對用戶傳入的route參數進行任何檢查，導致攻擊者利用此問題構造了惡意的route參數使合約讀取的Pool是由攻擊者創建的。

由于在合約中并未對Pool是否合法進行檢查，直接將lastCalledPool變量設置為Pool并調用了Pool的swap函數。

惡意的Pool在其swap函數中回調了RouteProcessor2的uniswapV3SwapCallback函數，由于lastCalledPool變量已被設置為Pool，因此uniswapV3SwapCallback中對msg.sender的檢查被繞過。

攻擊者利用此問題在惡意Pool回調uniswapV3SwapCallback函數時構造了代幣轉移的參數，以竊取其他已對RouteProcessor2授權的用戶的代幣。

Tags：區塊鏈Llama去中心化交易所區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢Llama幣是什么幣去中心化交易所違法嗎LFG去中心化交易所去中心化交易所英文單詞

BNB