Ekubo 프로토콜 사용자 정의 확장 계약이 공격을 받아 약 140만 달러의 손실이 발생했습니다

안전 기관 Blockaid(@blockaid_)의 모니터링에 따르면, Ekubo Protocol의 이더리움에서의 v2 커스텀 확장 계약이 지속적인 공격을 받고 있으며, 현재 약 140만 달러의 손실이 발생했습니다.

공격의 근본 원인은 해당 확장의 IPayer.pay 콜백이 매개변수 출처에 대한 유효한 제한을 두지 않아 공격자가 payer, token 및 amount 매개변수를 제어할 수 있게 되어, 승인된 토큰을 임의로 전송할 수 있게 된 것입니다. Ekubo 핵심 프로토콜 사용자들은 영향을 받지 않지만, 해당 v2 계약을 토큰 지출자로 승인한 사용자들은 직접적인 위험에 처해 있으며, Blockaid는 관련 사용자들에게 즉시 승인을 철회할 것을 권장합니다.