Ekubo Protocol 自定义扩展合约遭攻击，已损失约 140 万美元

ChainCatcher 消息，据安全机构 Blockaid（@blockaid_）监测，Ekubo Protocol 在以太坊上的一个 v2 自定义扩展合约正遭受持续攻击，目前已损失约 140 万美元。

攻击根本原因在于该扩展的 IPayer.pay 回调未对参数来源进行有效限制，导致攻击者可控制 payer、token 及 amount 参数，进而任意转移已授权代币。Ekubo 核心协议用户不受影响，但曾授权该 v2 合约作为代币支出方的用户面临直接风险，Blockaid 建议相关用户立即撤销授权。