Beosin EagleEye: Giao thức Socket bị kẻ tấn công tấn công chèn lệnh gọi, gây thiệt hại hơn 3 triệu USD.

Theo giám sát của nền tảng giám sát, cảnh báo sớm và cảnh báo sớm rủi ro bảo mật EagleEye của Beosin, giao thức Socket đã phải chịu một cuộc tấn công chèn lệnh gọi của kẻ tấn công, dẫn đến việc đánh cắp một số lượng lớn tiền của người dùng được ủy quyền. Cuộc tấn công này chủ yếu là do các lệnh gọi không an toàn trong hàm performanceAction của hợp đồng Socket. Chức năng của chức năng này là người gọi có thể đổi WETH thành ETH và người gọi cần đổi WETH được chuyển vào hợp đồng thành ETH thông qua cuộc gọi WETH, nếu không việc kiểm tra số dư sẽ không vượt qua. Theo lý do, lệnh gọi trong hàm chỉ có thể gọi hàm rút của hợp đồng WETH, nhưng nhóm dự án không tính rằng số WETH được người gọi chuyển là 0, vì vậy người gọi có thể gọi các hàm được chỉ định khác trong gọi và có thể vượt qua Kiểm tra số dư. Kẻ tấn công xây dựng dữ liệu cuộc gọi và gọi chuyển từ bất kỳ mã thông báo nào để chuyển mã thông báo được người dùng khác ủy quyền vào hợp đồng đến địa chỉ của kẻ tấn công. Hiện tại, kẻ tấn công chuyển số tiền bị đánh cắp thành ETH và lưu chúng vào địa chỉ của kẻ tấn công. Beosin sẽ tiến hành giám sát liên tục các quỹ. Địa chỉ lưu trữ tiền bị đánh cắp: https://eagleeye.space/address/0x50DF5a2217588772471B84aDBbe4194A2Ed39066.