火币HTX报道称，根据Beosin旗下Eagleeeye安全风险监控、预警和屏障平台监控，Socket协议遭到攻击者call的攻击，导致大量授权用户资金被盗。此次攻击主要是由于Socket合同的performaction函数存在不安全的call调用。 该函数功能是调用者可以将WETH换成ETH，调用者需要通过WETH的呼叫将WETH换成ETH，否则将无法通过余额检查。从理论上讲，函数中的呼叫只能调用WETH合同的withdraw函数，但项目方没有考虑呼叫者转移的WETH数量为0，因此呼叫者可以在呼叫中调用其他指定函数，并且可以通过余额检查。 通过结构calldata，攻击者调用随机代币的transferfrom，将其他用户授权给合同的代币转移到攻击者地址。目前，攻击者将被盗资金换成ETH，并上传到攻击者地址，Beosin将继续监控资金。