此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
外媒:Coatue Management为其最新基金筹集3.31亿美元,远低于目标额:金色财经报道,据外媒The Information报道称,总部位于纽约的投资管理公司Coatue Management 为其最新基金筹集3.31亿美元,远低于目标额,比期望金额低了34%,这表明在Covid投资热潮期间筹集巨额资金的公司未能实现其筹款目标。
Coatue Management曾投资MoonPay、Chainalysis和Fireblocks等知名加密初创公司,去年,三位普通合伙人离开了Coatue,其中包括领导该公司一些顶级加密货币和金融科技投资的Luca Schmid。[2023/8/1 16:10:25]
修改owner
MKR和COMP鲸鱼地址将4210枚MKR转入币安,本轮投资获利210万美元:金色财经报道,据余烬监测数据,此前从币安提取MKR和COMP的鲸鱼地址,30分钟前将4210枚MKR(483万美元)转入了币安。这样他本轮MKR+COMP投资实现获利210万美元:
25982枚COMP(成本价46美元),7月3日转入币安(价格64美元),收益率40%(获利46万美元);
4210枚MKR(成本价760美元),7月21日转入币安(价格1150美元),收益率51%(164万美元)。[2023/7/21 15:51:06]
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
MakerDAO社区治理批准了新提出的Endgame计划:金色财经报道,社区治理最近批准了 MakerDAO 新提出的章程,这是朝着 Rune Christensen 的“Endgame”计划迈出的重要一步,该项目的 Endgame 的一部分是将现有的 Maker 核心单元团队转变为 metaDAO,也称为 subDAO,每个都有自己的治理代币。作为过渡的一部分,MakerDAO 现有的协议工程核心部门将在本月底解散,并进入新的运营框架。许多工程师也将离开团队。?
MakerDAO 协议工程师 Sam MacPherson 解释说,这一切都不应该让人感到意外。?Maker 正在经历很多变化,为下一阶段的去中心化做准备。Rune 的 Endgame 计划已经通过了治理投票,因此 Maker 被拆分成更小的 DAO,自然地,这涉及到人们四处走动到不同的位置,一些新人加入,一些人转向其他事情。[2023/4/8 13:51:11]
狗狗币24小时涨幅超16%:金色财经报道,截止发稿,狗狗币和Shiba均出现不同程度上涨。狗狗币报价0.07453美元,24小时涨幅16.23%。Shiba Inu报价0.00001102美元,24小时涨幅6.51%。行情波动较大,请做好风险控制。[2022/10/27 11:47:20]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
新加坡Web3初创公司2MR Labs完成新一轮融资,Heliconia Capital参投:金色财经报道,新加坡Web3初创公司2MR Labs宣布完成了一笔由Heliconia Capital参投的最新融资,同时还与XM Studios、The Assembly Place和Culture Cartel Pte Ltd达成了战略合作伙伴关系。2MR Labs希望将Web2业务与Web3技术联系起来,创造一个包含真正价值和实用性的可持续Web3生态系统,该公司即将推出一个托管Web3市场“Upstairs”,帮助用户在移动APP上轻松购买、交易和销售数字货币。[2022/6/14 4:25:54]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
标签:OWNNERSTEDAODoge Your Own ResearchCoineriumStellar InvictusDAO币
黑客松本赛季于1月14日举行至16日,NFTHack启动后,迅速拉开帷幕,在线上聚集了许多充满热情的创作者和开发者,为不断演变的非同质化代币世界带来了许多吸睛的作品.
1900/1/1 0:00:00本文的某些内容涉及潜在的法律风险和策略。作者不是律师,而且这些内容也不构成法律建议。所以在作出任何决定前,请咨询律师.
1900/1/1 0:00:00根据新的数据,2021年第四季度,全球比特币挖矿行业使用可再生能源的比例增加了1%,达到58.5%。比特币挖矿委员会(BMC)于1月18日公布了其第四季度调查结果.
1900/1/1 0:00:00原文标题:web3数据市场展望今天就从数据市场开始,梳理一下自己对这个领域的一些理解。2022年伊始,我在推特写下:2022个人更关注的领域:web3数据市场/infrastructure、we.
1900/1/1 0:00:00Jan.2022,LesleyDataSource:FootprintAnalytics2021年12月,BoredApeYachtClub(BAYC.
1900/1/1 0:00:00作者?|?武大饼随着新金融协议的兴起,用户数量迅速增加。去中心化金融在区块链领域取得了重大进展。它们无需许可和无需信任的事实使它们独一无二。单产农业。它通常被称为使用协议赚取原生平台代币的过程.
1900/1/1 0:00:00