Cosine из SlowMist: контракт Ekubo подвергся злоумышленному использованию, некоторые пользователи уже потеряли 17 WBTC

По данным Odaily, основатель SlowMist Ю Сян опубликовал сообщение на платформе X, отметив: «Контракт Ekubo был злонамеренно использован. Причина в том, что если пользователь ранее предоставил разрешение на использование определённого токена адресу: 0x8CCB1ffD5C2aa6Bd926473425Dea4c8c15DE60fd;

Например, у пользователя 0x765DEC была бессрочная авторизация на WBTC (158 дней назад): злоумышленник мог указать уже авторизованного пользователя в качестве payer, и в payCallback позволить этому контракту вызвать функцию WBTC transferFrom(victim, Ekubo Core, amount), после чего через процесс выравнивания средств withdraw/pay в Ekubo Core (0xe0e0e08A6A4b9Dc7bD67BCB7aadE5cF48157d444) активы переводились злоумышленнику. Эта операция была проведена 85 раз по 0.2 WBTC, в результате чего пользователь 0x765DEC потерял 17 WBTC. Рекомендуется пользователям как можно скорее воспользоваться официальным уведомлением и проверить следующие разрешения на контракты: 0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)

0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)

Arbitrum: 0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)».