零时科技 || 处于“自救期”的 SushiSwap 是如何被黑客攻击的？

事件背景

零时科技区块链安全情报平台监控到消息，北京时间 2023 年 4 月 9 日，Sushiswap 项目受到攻击，损失约 1800ETH ，约为 334 万美元。零时科技安全团队及时对此安全事件进行分析。

漏洞及核心

合约中没有对传入的参数 router 进行判断，使得攻击者能够通过恶意构造 router 进行后续操作

在 processRouteInternal 函数中将传入的 router 参数存入合约中，后续执行 swap 时会调用

在 swapUniV3 中函数执行兑换操作，由于攻击者已将恶意 router 存入合约，此时函数转入执行攻击者构造的 pool 合约

在回调函数中进行判断需函数调用者为 pool，由于之前攻击者已经将 pool 地址修改，此处可成功绕过地址检查，因此攻击者可任意恶意构造代币转移函数，将授权用户的资金转出。

总结及建议

此次攻击是由于合约中未对传入参数进行检查，攻击者能够通过恶意构造参数使得合约转入执行由攻击者创建的恶意合约并将授权用户的资金转出。

• 安全建议

🔹建议有对此项目合约授权的用户尽快取消授权防止资金被盗

▪ETH：

0x044b75f554b886A065b9567891e45c79542d7357

▪BSC：

0xD75F5369724b513b497101fb15211160c1d96550

▪POLYGON：

0x5097cbb61d3c75907656dc4e3bba892ff136649a

▪FTM：

0x3e603c14af37ebdad31709c4f848fc6ad5bec715

▪AVAX：

0xbACEB8eC6b9355Dfc0269C18bac9d6E2Bdc29C4F

🔹建议项目方上线前进行多次审计，避免出现审计步骤缺失

往期内容回顾

• 零时科技 ||《2022 年全球 Web3 行业安全研究报告》正式发布！

• 零时科技 || 分布式资本创始人 4200 万美金资产被盗分析及追踪工作

• 零时科技 || 警惕恶意聊天软件！聊天记录被劫持损失数千万资产追踪分析

• 零时科技联合创始人黄鱼先生受邀对话《Web3 应用创新与生态安全》

• 零时科技创始人邓永凯先生受邀对话《公链隐私保护及生态安全》

• 国家网络安全宣传周|零时科技出版国内首本区块链安全书籍，助力行业发展！

• 零时科技 || Ankr 资金被盗分析

• 零时科技 || DFX Finance 攻击事件分析

• 零时科技 || Victor the Fortune 攻击事件分析

• 零时科技 || EGD 被黑客攻击损失超 3.6 万 BUSD，事件分析