同一类型漏洞,再次发生
据 Blockaid 监测披露,Ekubo Protocol 在以太坊上部署的扩展合约再度遭受攻击,本次损失约 140 万美元。攻击目标是 Ekubo 的 V2 合约,受影响的是曾对该合约进行过 ERC-20 代币授权的用户——Ekubo 原生用户与流动性提供者不受影响。
此次攻击的技术路径与此前 Starknet 上的 Ekubo 事件高度相似,根本原因同样指向合约回调函数的身份验证缺失。
漏洞核心:IPayer.pay 回调未验证 payer 身份
具体而言,攻击者利用了合约中 IPayer.pay 回调函数的设计缺陷——该函数在执行支付逻辑时,未对 payer(付款方)的身份进行有效验证。
攻击者借此将持有有效 ERC-20 授权的用户地址指定为 payer,通过 Core 路由触发回调,从而在无需用户主动操作的情况下,调用 transferFrom 函数将受害者资产转出。整个过程对受害者而言完全无感知,直到资产消失。
授权一旦给出,风险长期存在
此案与 CertiK 同日披露的 587 万美元授权攻击事件,共同构成本周 DeFi 安全领域的双重警示:合约授权一经给出,即便原始交互已结束,风险仍将长期潜伏。
Blockaid 建议,所有曾对 Ekubo V2 合约进行过授权的用户,应立即通过授权管理工具检查并撤销相关权限。对于平台方,建立对异常回调模式与批量授权调用的实时监控机制已迫在眉睫。Trustformer KYT 提供精细化的链上交易行为分析,可有效识别此类授权滥用攻击的早期信号,帮助用户与平台将损失窗口压缩至最短