Foresight News 消息，据慢雾安全团队情报, 2022 年 10 月 11 号，以太坊链上的 Rabby 钱包项目的 Swap 合约被攻击, 其合约中代币兑换函数直接通过 OpenZeppelin Address library 中的 functionCallWithValue 函数进行外部调用，而调用的目标合约以及调用数据都可由用户传入，但合约中并未对用户传入的参数进行检查，导致了任意外部调用问题。攻击者利用此问题窃取对此合约授权过的用户的资金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权并提取资金以规避风险。

截止目前，Rabby Swap 事件黑客已经获利超 19 万美元，资金暂时未进一步转移。黑客地址的手续费来源是 Tornado Cash 10 BNB，使用工具有 Multichain、ParaSwap、PancakeSwap、Uniswap V3、Trader Joe。慢雾 MistTrack 将持续监控黑客地址并分析相关痕迹。