火星链 火星链
Ctrl+D收藏火星链

DEP:创宇区块链|小缺陷大损失 GYM Network 何至于此

作者:

时间:1900/1/1 0:00:00

前言

北京时间2022年6月8日,知道创宇区块链安全实验室?自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击,损失包括7475枚BNB,共计约216W美元,目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊,2000枚BNB利用BSC-Tornado进行混币,余下3000枚BNB在攻击者地址。

知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

基础信息

被攻击合约:0x0288fba0bf19072d30490a0f3c81cd9b0634258a

比特币涨至近一年来新高,今年迄今涨幅超80%:金色财经报道,尽管加密行业面临一系列挑战,但人们对数字资产的热情重新燃起。比特币涨破年内峰值31013美元,达到自2022年6月以来的最高水平。目前比特币价格一度攀升至逾31400美元,自年初以来涨幅超过80%。其他加密货币也纷纷跟随上涨,这是一个引人注目的发展,也显示出了加密市场的弹性。

FRNT Financial数据和分析主管Strahinja Savic表示,从狂热的比特币爱好者的角度来看,这种代币最基本的投资论点正在发挥作用:通货膨胀、货币管理不善、银行危机、主权债务焦虑、美元储备地位问题,都在给比特币爱好者创造机会说我告诉过你。如果比特币升至历史高位,我不会说尽管环境充满挑战,我会说因为环境充满挑战。[2023/6/24 21:57:01]

攻击者地址:0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

比特币全网未确认交易数量为53625笔:金色财经报道,BTC.com数据显示,目前比特币全网未确认交易数量为53625笔,全网算力为325.34 EH/s,24小时交易速率为3.58交易/s,目前全网难度为43.55 T,预测下次难度上调3.86%至45.23 T,距离调整还剩1天10小时。[2023/3/23 13:20:24]

tx:0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制,导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押:

A股收盘:深证区块链50指数上涨1.72%:金色财经消息,A股收盘,上证指数报3284.92点,收盘上涨0.9%,深证成指报12158.19点,收盘上涨1.31%,深证区块链50指数报3148.16点,收盘上涨1.72%。区块链板块收盘上涨2.52%,数字货币板块收盘上涨3.44%。[2023/2/1 11:40:37]

对于应该开放给用户的质押内部函数是_deposit函数,该函数实现了对于token的审批传入,如下图所示:

Memeland船长NFT“CaptainZ”12分钟内完成发售,团队收入约为9801枚ETH:1月5日消息,Memeland船长NFT项目“The CaptainZ”发文称,开启铸造后669秒收到超过9,999笔存款,并因此停止了Waitlist资格的铸造。“The CaptainZ”已于北京时间今日00:00开启铸造,铸造时间48小时,铸造价格1.069ETH,拥有铸造资格的用户包括:Memelist、PotatoZ或者Waitlist持有者。截止发稿,已有14546名用户参与。

“The CaptainZ”是Memeland生态体系中的第三个项目。根据项目官网信息,实际仅有9169个船长NFT可供铸造,其余未被铸造的CaptainZ将被归入Memeland Treasury,预计团队收入为9801.661枚ETH。[2023/1/5 9:54:05]

对应的_autoDeposit函数则实现了"特权"质押,即不需要转入Token进行质押。同时该函数直接暴露给了用户,函数对比如下:

数据:过去一周Circle USDC流通量增加2亿美元:1月1日消息,据官方消息,12月22日至12月29日期间,Circle共发行42亿美元USDC,赎回40亿美元USDC,流通量增加2亿美元。截至12月29日,USDC总流通量为443亿美元,储备量为446亿美元,其中现金104亿美元,短期美国国债342亿美元。[2023/1/1 22:19:27]

攻击流程

攻击者为了防止链上MEV和抢跑机器人,将合约进行了分步部署执行,同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离,以其中一笔部署调用为例:

1.部署合约后调用depositFromOtherContract实"特权"质押,对应0xfd4a2266方法:

内部调用细节如下:

2.调用0x30649e15实现对上一步特权质押的Token回撤:

3.利用0x1d111d13函数售出获取到的的GYM-Token:

重复多次"特权"质押--回撤--售出步骤,攻击者最终获取到7475枚BNB:

为了抑制抢跑,攻击者将添加质押和回撤进行了步骤分离,两个步骤均为核心操作,同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。

溯源处置

本次攻击原因是项目方实现的特权函数权限控制不当,在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改,为其添加了权限控制:

并在20分钟后对逻辑合约添加了紧急账户处置函数:

而对于项目方Deployer地址分析,其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞,4天前的合约则不存在此函数:

同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago:

攻击者的资金准备(FromTornado)则在约6小时以前,攻击者的身份也值得令人深思。

总结

虽然只是一处小的控制缺陷,却导致了数百万美元的损失。项目方的处置虽较为及时,漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用,各项目方在开发和审计流程上切莫大意。

来源:金色财经

标签:GYM比特币DEPPOSGYM币李晨比特币5个亿爆仓怎么翻身比特币onekey和depay对比pos币大全

POL币最新价格热门资讯
NFT:比特币矿工表示纽约禁令将无效并“孤立”该州

今日比特币矿工表示纽约禁令将无效并“孤立”该州。矿工们认为,随着其他州邀请矿工帮助改善他们的能源网络,纽约立法机构让比特币矿工离开他们的州的努力从长远来看会适得其反.

1900/1/1 0:00:00
WEB3:AAX梳理2022 年最值得关注的 5 个 Web3 加密货

在过去的两年里,有许多围绕着Web3和加密货币的讨论。并且有充分的理由。作为从Web2.0运动演变而来的一部分,Web3是将互联网去中心化的运动,使生态系统内的应用程序、网站和服务的访问民主化,

1900/1/1 0:00:00
APP:6月11日:BTC最新行情分析 短线BTC合约操作思路策略

比特币合约分析:昨日方面,日线继续转阴收盘,近几个交易日的连阴,昨日算是跌破了前期多次支撑29300区域下方收盘,这让价格再次回到了30日均线下方;而目前最为关键的是要加速.

1900/1/1 0:00:00
元宇宙:下载破千万 元宇宙UGC平台BUD的前世今生

5月23日,元宇宙UGC平台BUD宣布完成3690万美元B+轮融资,与其顺利的融资步调保持一致的,是其App下载量,正式上线GooglePlay仅半年,单平台下载次数便达1000万+.

1900/1/1 0:00:00
元宇宙:倒计时1天!6.14观火元宇宙数字藏品峰会即将重磅来袭!

36位重磅嘉宾,聚焦7大板块内容,市场分析:美联储或在下次会议上暗示6月继续加息:4月23日消息,在5月初美联储利率决议之前的噤声期到来之际,美联储官员们已默认再次加息.

1900/1/1 0:00:00
GEN:6月加息来临,币圈将何去何从?

美国5月CPI再度爆表,一举浇灭了通胀见顶的希望。数据公布后,拜登政府迅速表态,话里话外都将重担甩给了美联储.

1900/1/1 0:00:00