NER:权限问题：Crosswise被黑事件分析

此次攻击导致协议损失87.9万美元

近日，BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

事件分析

攻击过程如下：

外媒：Coatue Management为其最新基金筹集3.31亿美元，远低于目标额:金色财经报道，据外媒The Information报道称，总部位于纽约的投资管理公司Coatue Management 为其最新基金筹集3.31亿美元，远低于目标额，比期望金额低了34%，这表明在Covid投资热潮期间筹集巨额资金的公司未能实现其筹款目标。

Coatue Management曾投资MoonPay、Chainalysis和Fireblocks等知名加密初创公司，去年，三位普通合伙人离开了Coatue，其中包括领导该公司一些顶级加密货币和金融科技投资的Luca Schmid。[2023/8/1 16:10:25]

修改owner

MKR和COMP鲸鱼地址将4210枚MKR转入币安，本轮投资获利210万美元:金色财经报道，据余烬监测数据，此前从币安提取MKR和COMP的鲸鱼地址，30分钟前将4210枚MKR(483万美元)转入了币安。这样他本轮MKR+COMP投资实现获利210万美元：

25982枚COMP(成本价46美元)，7月3日转入币安(价格64美元)，收益率40%(获利46万美元)；

4210枚MKR(成本价760美元)，7月21日转入币安(价格1150美元)，收益率51%(164万美元)。[2023/7/21 15:51:06]

首先设置trustedFowarder，然后通过transferOwnership函数修改owner。该过程中，自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制，导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果，最终使得owner可以被其他用户修改。

MakerDAO社区治理批准了新提出的Endgame计划:金色财经报道，社区治理最近批准了 MakerDAO 新提出的章程，这是朝着 Rune Christensen 的“Endgame”计划迈出的重要一步，该项目的 Endgame 的一部分是将现有的 Maker 核心单元团队转变为 metaDAO，也称为 subDAO，每个都有自己的治理代币。作为过渡的一部分，MakerDAO 现有的协议工程核心部门将在本月底解散，并进入新的运营框架。许多工程师也将离开团队。?

MakerDAO 协议工程师 Sam MacPherson 解释说，这一切都不应该让人感到意外。?Maker 正在经历很多变化，为下一阶段的去中心化做准备。Rune 的 Endgame 计划已经通过了治理投票，因此 Maker 被拆分成更小的 DAO，自然地，这涉及到人们四处走动到不同的位置，一些新人加入，一些人转向其他事情。[2023/4/8 13:51:11]

狗狗币24小时涨幅超16%:金色财经报道，截止发稿，狗狗币和Shiba均出现不同程度上涨。狗狗币报价0.07453美元，24小时涨幅16.23%。Shiba Inu报价0.00001102美元，24小时涨幅6.51%。行情波动较大，请做好风险控制。[2022/10/27 11:47:20]

由于上一步攻击者修改了owner，即获取了owner权限，因此，攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。

新加坡Web3初创公司2MR Labs完成新一轮融资，Heliconia Capital参投:金色财经报道，新加坡Web3初创公司2MR Labs宣布完成了一笔由Heliconia Capital参投的最新融资，同时还与XM Studios、The Assembly Place和Culture Cartel Pte Ltd达成了战略合作伙伴关系。2MR Labs希望将Web2业务与Web3技术联系起来，创造一个包含真正价值和实用性的可持续Web3生态系统，该公司即将推出一个托管Web3市场“Upstairs”，帮助用户在移动APP上轻松购买、交易和销售数字货币。[2022/6/14 4:25:54]

通过MasterChef合约中的withdraw函数提取了692184.64CRSS.

将CRSS兑换为BNB.

通过Tornado实现混币，将盗取的BNB转移到其他账户地址

总结：本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞，导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限，最后通过Owner权限窃取了项目中的资金。另外，攻击者账户发起攻击的资金来源于Tornado混币平台。

安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

来源：金色财经

标签：OWNNERSTEDAODoge Your Own ResearchCoineriumStellar InvictusDAO币

KuCoin热门资讯