又是随意授权引起的一桩惨案!@wzxznl 和Beosin研究员@EatonAshton2 一起破案了这一场资产被盗事件
永远不要随意授权无限额度!尤其是没有开源的合约!用过Hashflow的赶紧检查一下自己的授权!
继上次朋友资产被盗事件发现了Uniswap的风险之后,这次又一个被盗事件让菠菜又发现了一个可能涉及较广的风险,如果你在去年5月之前使用过Hashflow并授权了额度你就存在资产被盗的风险!
今天一个朋友向我咨询了一个资产被盗事件。
我朋友从交易所往受害者钱包里打了一笔U之后,U立马就被一个MEV机器人转走了,使用的是一个未开源的函数Yoink,受害者私钥并没有泄漏,当时我对此比较感到困惑。
后来与beosin研究员@EatonAshton2 的讨论中菠菜破案了,受害者的钱包在2022年4月23日授权给了一个尾号Af0c对合约无限的USDT额度。
该尾号Af0c的合约是Hashflow部署的一个合约,Hashflow就是之前火过一段时间的那个跨链防MEV无滑点的DEX,当时与Hashflow进行交互应该都是与这个合约进行交互,而出问题是就是这个合约,这个合约甚至代码都没有开源?!所以当时可能存在很大一批人授权给了这个合约无限额度!
该合约去年五月被Hashflow弃用(应该是发现漏洞),但是在2023年6月14日,HashFlow被黑客攻击,文章分析,很有可能是因为用户在去年五月份之前使用该合约时对该合约进行了大额度的授权。
https://www.defidaonews.com/article/6822386
而在该合约弃用后,这些授权并没有被回收,并可能由于合约弃用后导致限制逻辑出现了一定的问题,导致攻击者可以调用弃用合约的函数来转出用户资产。
通过对比我们可以发现6月14日这场黑客事件被攻击的合约正是尾号Af0c的Hashflow合约。
也就是说,目前由于Hashflow废弃的尾号Af0c的合约被攻击,如果你在去年五月之前使用过Hashflow并进行了授权,那么你现在已经暴露在资产被盗的风险中!你可以进入Etherscan的授权查询界面查询你的授权,取消所有有风险的合约授权!
https://etherscan.io/tokenapprovalchecker
每天都有数不胜数的人被盗,不要轻易授权过多的额度给合约!熊市可以不赚钱但是不能丢钱!
从这次事件来看,由于被弃用的代码并没有开源(居然有人还敢用),菠菜猜测黑客要么是可以反编译的超级大牛,要么就是知道代码的内部人员。不管怎样,不要随意相信未开源的合约!
相关被盗事件:https://web3defi.org/d/483
如果你看完后有所收获,别忘了点赞关注转发!让更多人看到避免更多的资产损失!