Rubic:慢霧：Rubic 協議錯將 USDC 添至 Router 白名單，致授權合約用戶 USDC 遭竊取_PCUSDC幣

據慢霧安全團隊情報，Rubic跨鏈聚合器項目遭到攻擊，導致用戶賬戶中的USDC被竊取。慢霧安全團隊以簡訊的形式分享如下：

1.Rubic是一個DEX跨鏈聚合器，用戶可以通過RubicProxy合約中的routerCallNative函數進行NativeToken兌換。在進行兌換前，會先檢查用戶傳入的所需調用的目標Router是否在協議的白名單中。

慢霧：Moonbirds的Nesting Contract相關漏洞在特定場景下才能產生危害:據慢霧區情報反饋，Moonbirds 發布安全公告，Nesting Contract 存在安全問題。當用戶在 OpenSea 或者 LooksRare等NFT交易市場進行掛單售賣時。賣家不能僅通過執行 nesting(筑巢) 來禁止NFT售賣，而是要在交易市場中下架相關的 NFT 售賣訂單。否則在某個特定場景下買家將會繞過 Moonbirds 在nesting(筑巢)時不能交易的限制。慢霧安全團隊經過研究發現該漏洞需要在特定場景才能產生危害屬于低風險。建議 Moonbirds 用戶自行排查已 nesting(筑巢)的 NFT 是否還在 NTF 市場中上架，如果已上架要及時進行下架。更多的漏洞細節請等待 Moonbirds 官方的披露。[2022/5/30 3:50:23]

2.經過白名單檢查后才會對用戶傳入的目標Router進行調用，調用數據也由用戶外部傳入。

慢霧：PAID Network攻擊者直接調用mint函數鑄幣:慢霧科技發文對于PAID Network遭攻擊事件進行分析。文章中指出，在對未開源合約進行在反編譯后發現合約的 mint 函數是存在鑒權的，而這個地址，正是攻擊者地址(0x187...65be)。由于合約未開源，無法查看更具體的邏輯，只能基于現有的情況分析。慢霧科技分析可能是地址(0x187...65be)私鑰被盜，或者是其他原因，導致攻擊者直接調用 mint 函數進行任意鑄幣。

此前報道，PAID Network今天0點左右遭到攻擊，增發將近6000萬枚PAID代幣，按照當時的價格約為1.6億美元，黑客從中獲利2000ETH。[2021/3/6 18:21:08]

3.不幸的是USDC也被添加到Rubic協議的Router白名單中，因此任意用戶都可以通過RubicProxy合約任意調用USDC。

慢霧：BTFinance被黑，策略池需防范相關風險:據慢霧區情報，智能DeFi收益聚合器BT.Finance遭受閃電貸攻擊。受影響的策略包括ETH、USDC和USDT。經慢霧安全團隊分析，本次攻擊手法與yearnfinance的DAI策略池被黑的手法基本一致。具體分析可參考慢霧關于yearnfinace被黑的技術分析。慢霧安全團隊提醒，近期對接CurveFinance做相關策略的機槍池頻繁遭受攻擊。相關已對接CurveFinance收益聚合器產品應注意排查使用的策略是否存在類似問題，必要時可以聯系慢霧安全團隊協助處理。[2021/2/9 19:19:41]

4.惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。

此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中，導致已授權給RubicProxy合約的用戶的USDC被竊取。(來源鏈接）

Tags：USDUSDCRubicUBIVUSD價格PCUSDC幣UBI幣

Luna