「金色财经」安全团队：建议用户取消不同链上SushiswapRouteProcessor2合约的授权

「金色财经」据金融报道，根据区块链安全审计公司BeosinBeosineagleeye的安全风险监控、预警和阻断平台监控，Sushiswap项目于2023年4月9日受到攻击，部分授权用户资产已转移。根本原因是合同的值lastcalledpol重置在验证前，导致合同中对pool的检查失败，从而允许攻击者在swap中指定恶意pol转出授权用户资金。以0xea3480f1f1d1f0b3283f8f282ce16403fe22ede35c0b71a732193e56c5c5e8为例：1.攻击者在约30天前创建了恶意pol合同。2.调用sushiswap的路由函数procesroute进行swap，指定创建的恶意合同为pol合同3。最后，在swap之后，恶意合同调用uniswapv3swapcallback，指定tokenin为weth，from地址为受害者的用户地址(sifuvision.eth)，从而利用受害者对路由合同的授权转移资金。建议用户取消SushiswaprouteProcesor2合同在不同链上的授权。