Beosin：Rubic 被攻擊事件簡析

ChainCatcher 消息，据區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 監測顯示，Rubic 項目被攻擊，Beosin 安全團隊分析發現 RubicProxy 合約的 routerCallNative 函數由於缺乏參數校驗，_params 可以指定任意的參數，攻擊者可以使用特定的 integrator 來讓 RubicProxy 合約可以幾乎零成本的調用自己傳入的函數 data。

攻擊者通過調用 routerCallNative 函數，把所有授權給 RubicProxy 合約的 USDC 全部通過 transferFrom 轉入了 0x001B 地址，被盜資金近 1100 個以太坊，通過 Beosin Trace 追蹤發現被盜資金已經全部轉入了 Tornado cash。