慢雾Rubic协议错将USDC添至Router白名单,导致已授权合约用户USDC遭窃取

12月25日消息，据慢雾安全团队情报，Rubic跨链聚合器项目遭到攻击，导致用户账户中的USDC被窃取。慢雾安全团队分享如下：1. Rubic是一个DEX跨链聚合器，用户可以通过RubicProxy合约中的routerCallNative函数进行Native Token兑换。在进行兑换前，会先检查用户传入的所需调用的目标 Router是否在协议的白名单中。

2. 经过白名单检查后才会对用户传入的目标Router进行调用，调用数据也由用户外部传入。

3. 不幸的是USDC也被添加到Rubic协议的Router白名单中，因此任意用户都可以通过RubicProxy合约任意调用USDC。

4. 恶意用户利用此问题通过routerCallNative函数调用USDC合约将已授权给RubicProxy合约的用户的USDC通过transferFrom接口转移至恶意用户账户中。

此次攻击的根本原因在于Rubic协议错误的将USDC添加进Router白名单中，导致已授权给RubicProxy合约的用户的USDC被窃取。

其它传闻（路边社）

慢雾Rubic协议错将USDC添至Router白名单，导致已授权合约用户USDC遭窃取资金。Rubic已于2月8日将FinClub CollectEnarbor委托给Rubic团队。此前消息，XAYSwap遭受恶意攻击，导致近2400万美元的资金被盗。部分交易压缩了BNC/USDT(PST)价格，而攻击前的价格计算器已经在LINTH-BNB 11 USDT / USDC交易池做兑换。之后Rubic团队已对该交易所于2021年12月22日下午5点开始执行恢复。