Ekubo Protocol 自訂擴展合約遭攻擊，已損失約 140 萬美元

ChainCatcher 消息，据安全機構 Blockaid（@blockaid_）監測，Ekubo Protocol 在以太坊上的一個 v2 自訂擴展合約正遭受持續攻擊，目前已損失約 140 萬美元。

攻擊根本原因在於該擴展的 IPayer.pay 回調未對參數來源進行有效限制，導致攻擊者可控制 payer、token 及 amount 參數，進而任意轉移已授權代幣。Ekubo 核心協議用戶不受影響，但曾授權該 v2 合約作為代幣支出方的用戶面臨直接風險，Blockaid 建議相關用戶立即撤銷授權。