Blockaid：Ekubo已在攻擊事件中損失約140萬美元

事件概述

安全公司Blockaid監測到，Ekubo Protocol在以太坊上的自訂擴展合約於凌晨遭攻擊，目前已造成約140萬美元的損失。

該漏洞出現在Ekubo擴展合約的IPayer.pay回調函數中，其中token.transferFrom的payer、token與amount參數直接來自鎖定載荷，由攻擊者控制。

合約未檢查payer是否為鎖定的發起者或授權的支付方，攻擊者可利用用戶此前對該合約的ERC-20授權，透過Core鎖定路由至擴展合約，將任意授權用戶設為payer，並將自己設為提款接收方，進而盜取資產。

Ekubo用戶本身不受影響，僅有授權該V2合約作為代幣支出者的用戶存在風險。