Transit Finance的exactInputV3Swap函数由于缺乏对pool输入合法校验,导致被攻击
网络 阅读: 2023-12-23 11:07:25
据Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Transit Finance项目遭到攻击,Beosin安全团队分析发现Transit Finance 的SwapRouter中的exactInputV3Swap函数由于缺乏对pool输入合法校验,导致被攻击。以0x93ae5...6de1081交易为例,攻击者传入伪造的pool和WBNB/BUSD池子路径、从而在第一次兑换中控制了actualAmountIn。导致SwapRouter将伪造的actualAmountIn作为在WBNB/BUSD池子中兑换的初始值,从而窃取了SwapRouter中的BUSD。
本文 原创,转载保留链接!网址:https://licai.bangqike.com/bixun/281422.html
声明
1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。
