Ekubo Protocol 在攻击者挖矿EVM 上的路由器swap合约中的访问控制漏洞后,遭受了约 140 万镁的 WBTC 损失,进一步加剧了近期链DeFi 安全事件。
Ekubo 是一个基于集中流动性模型的 AMM,最初构建于 Starknet 之上,然后扩展到以太坊和Arbitrum,其“单例”架构和模块化扩展系统尤为引人注目。
据安全公司 Blockaid 称,此次攻击针对的是 EVM v2 扩展合约中“支付回调”部分的一个漏洞。具体来说,该合约从攻击者控制的数据中接收到付款人、代币和数量等参数,但未能验证“付款人”是否真正授权了该交易。
攻击者利用这一漏洞,从之前授予受影响路由器访问权限的钱包中提取资金。该团伙通过大约85笔连续交易迅速完成了盗窃。
根据Cyvers等监控系统提供的链上数据显示,主要受害者损失了约17个WBTC。被盗资金随后被兑换成WETH和Dai。
Ekubo迅速发布警告:“Ekubo的swap路由合约目前存在安全问题,仅影响EVM链。”该项目点击LP不受影响。Ekubo在Starknet上的核心实现以及整体流动性也未受影响。
Ekubo 还建议用户立即通过 revoke.cash 撤销任何已授予的权限。
