TransitFinanceeexxactinputv3Swap函数因缺乏对pool输入的合法验证而受到攻击

swap 函数 合法 导致 攻击 2023-12-20 42
据金色财经报道,Beosin旗下EagleEye安全风险监控、预警与阻断平台监测显示,Transit Finance项目遭到了攻击。经过Beosin安全团队的分析发现,攻击主要是针对Transit Finance项目的SwapRouter中的exactInputV3Swap函数,由于缺乏对pool输入合法校验,导致了被攻击的风险。具体来说,攻击者利用了伪造的pool和WBNB/BUSD池子路径,在一次兑换中控制了actualAmountIn,从而导致SwapRouter将伪造的actualAmountIn作为在WBNB/BUSD池子中兑换的初始值,最终实现了对SwapRouter中BUSD的窃取。这一事件再次提醒了项目方保护用户资产安全的重要性。
相关推荐