Foresight News 消息，据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，Multichain 的 AnyswapV4Router 合约遭抢跑攻击，2023 年 2 月 15 日，攻击者利用 MEV 合约（0xd050）在正常的交易执行之前（用户授权了 WETH 但是还未进行转账）抢先调用了 AnyswapV4Router 合约的 anySwapOutUnderlyingWithPermit 函数进行签名授权转账，虽然函数利用了代币的 permit 签名校验，但是本次被盗的 WETH 却并没有相关签名校验函数，仅仅触发了一个 fallback 中的 deposit 函数。在后续的函数调用中攻击者就能够无需签名校验直接利用 safeTransferFrom 函数将_underlying 地址授权给被攻击合约的 WETH 转移到攻击合约之中。

攻击者获利约 87 枚以太坊，约 13 万美元，Beosin Trace 追踪发现目前被盗资金有约 70 枚以太坊进入了 0x690b 地址，还有约 17 枚以太坊还留在 MEVBOT 的合约中。