SWAP:Sorbetto Fragola因LP代幣轉移缺乏適當費用核算遭到攻擊，損失近2070萬美元_Sensorium

巴比特訊，8月4日，Peckshield發推表示，跨鏈收益率提升平臺PopsicleFinance下SorbettoFragola產品遭到攻擊，導致了約2070萬美元的損失，包括2.6KWETH，5.4MUSDC，5MUSDT，160KDAI,10KUNI，和96WBTC。據悉，此次攻擊是由于LP代幣轉移時缺乏適當的費用核算導致的。

安全團隊：建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年4月9日，

Sushiswap項目遭到攻擊，部分授權用戶資產已被轉移。

根本原因是由于合約的值lastCalledPool重置在校驗之前，導致合約中針對pool的檢查失效，從而允許攻擊者swap時指定惡意pool轉出授權用戶資金，以其中0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8為例：

1.攻擊者在約30天前創建了惡意pool合約

2.調用SushiSwap的路由函數processRoute進行swap，指定了創建的惡意合約為pool合約

3.最后在swap后惡意合約調用uniswapV3SwapCallback，指定tokenIn為WETH，from地址為受害者用戶地址(sifuvision.eth)，從而利用受害用戶對路由合約的授權轉移走資金。

建議用戶取消不同鏈上Sushiswap RouteProcessor2合約的授權。[2023/4/9 13:53:15]

具體來說，攻擊者創建了三個合約A、B和C，并以A.deposit()、A.transfer(B)、B.collectFees()、B.transfer(C)、C.collectFees()的順序重復了八個池。在該漏洞中，黑客首先從Aave上閃貸了30MUSDT,13KWETH,1.4KBTC,30MUSDC,3MDAI和200KUNI，隨后并攻擊了八個PLP池。目前，攻擊的部分利潤被立即存入TornadoCash，而剩余的2560WETH，96WBTC和159,928DAI仍在攻擊者的賬戶中，即0xf9E3D08196F76f5078882d98941b71C0884BEa52。

Gate入選福布斯Advisor2021最佳交易所:根據福布斯Advisor最新消息，Gate全球交易所以4.5分（滿分5分）被評選為2021年最佳加密貨幣交易所Top 6。同時，Gate平臺上可交易的加密貨幣超650種，在所有入選的交易所中排列第一位。本次評選參考了CoinMarketCap數據，包括網絡流量、流動性、交易量以及是否對在美客戶開放，并收集了貨幣種類、手續費、安全性、用戶評價、投資者教育資源等因素得出評分。Gate將為廣大用戶提供放心的交易場所以及優質的交易服務。[2021/6/4 23:12:39]

Visor Finance在Uniswap V3上推出主動流動性管理Beta版:5月18日消息，DeFi協議Visor Finance宣布，在Uniswap V3上推出主動流動性管理Beta版，包括Visor的技術棧、Gamma LP策略、向VISR質押者分配費用。[2021/5/18 22:15:12]

Tags：SWAPSORUNIPOOLethereumuniswapSensoriumSpheroid UniverseYFNPOOL

KuCoin