火星链 火星链
Ctrl+D收藏火星链
首页 > Luna > 正文

FINA:成都链安揭露:FAIRWIN 智能合约漏洞技术分析

作者:

时间:1900/1/1 0:00:00

近日,FAIRWIN智能合约存在漏洞这一问题引起各方关注,FAIRWIN作为近日以太坊链上交易量最高的资金盘模式应用,在以太坊链上还存在大量类似的克隆盘,如果存在隐藏漏洞会给公链带来较大风向,因此成都链安安全人员对FAIRWIN智能合约展开了深度分析,分析结果如下:通过对FAIRWIN合约代码进行审计,我们发现其合约存在一个remedy()接口,如果合约owner没有通过close()关闭接口时,该接口可以被任意用户调用,并且可以通过这个接口伪造投注数据,实现“无中生有”,在不使用任何资金的情况下伪造了充值记录,之后攻击者便可以享受分红,或者通过userWithDraw()将余额全部提出。

成都链安:whaleswap.finance项目遭受攻击,至少损失5,946 个BUSD和5964个USDT:6月21日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,whaleswap.finance项目遭受攻击,成都链安技术团队分析发现原因可能是因为whaleswap.finance Pair合约的K值校验存在问题。每当用户在进行交换时,K值校验中传入的参数量级存在问题,造成K值校验失效。攻击者先通过闪电贷借一笔BSC-USD,之后归还闪电贷时K值校验参数量级为10000^4。而K值校验时采取的参数校验量级为10000^2,导致K校验失效。[2022/6/21 4:41:57]

通过链上记录,我们发现项目方已于2019年7月28日通过closeAct关闭了该接口。通过成都链安Beosin-AML系统分析项目方所有的交易记录,我们进一步分析是否已经存在攻击者插入投注数据成功的情况。通过分析发现,该漏洞已被严重滥用。从十天前到现在为止,陆续有账户尝试调用remedy()接口来插入投注数据,不过由于该操作已被关闭,导致插入数据失败,可以看到插入金额都是几万ETH。插入失败记录:

成都链安:Feminist Metaverse项目遭受攻击,攻击者已将1838BNB转入tornado.cash:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,BNB Chain上Feminist Metaverse(FM_Token)项目遭受攻击。

攻击者地址:

0xaaA1634D669dd8aa275BAD6FdF19c7E3B2f1eF50

攻击交易bsc:0xfdc90e060004dd902204673831dce466dcf7e8519a79ccf76b90cd6c1c8b320d

目前攻击者已将1838BNB转入tornado.cash,约54万美元。[2022/5/19 3:26:26]

通过完整追溯,我们总共发现503条插入成功的交易记录,且插入日期都在项目方关闭接口之前。经统计,这503条交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b发起。

成都链安:Visor Finance遭受攻击事件分析:据成都链安监测显示,Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析,本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞:

1.call调用未对目标合约进行限制,攻击者可以调用任意合约,并接管了抵押挖矿合约的执行流程;<- 主要漏洞,造成本次攻击的根本原因。2.函数未做防重入攻击;<- 次要漏洞,导致了抵押凭证数量计算错误,不是本次攻击的主要利用点,不过也可凭此漏洞单独发起攻击。针对这两个问题,成都链安在此建议项目方应做好下面两方面:1.进行外部合约调用时,建议增加白名单,禁止任意的合约调用,特别是能够控制合约执行流程的关键合约调用;2.函数做好防重入,推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]

通过统计得出总共插入了5093个ETH,其中包括4711个冻结ETH,382个未冻结ETH。并且攻击者通过插入投注记录设置的500多个小号已经进行过提现操作。

通过进一步分析其合约部署情况发现,在项目方关闭actStu的前一天,也就是2019年7月27日,项目方刚刚部署FAIRWIN合约,在短短一天时间不到之内,项目合约之内便无中生有了5000多个ETH。7月29日,以太坊浏览器显示合约进行了开源。

标签:ANCNANAIRFINAChainge FinanceYmen.FinanceWFAIR价格trees.finance

Luna热门资讯
LEG:和EOS情况不同,TON或将面临SEC更严厉处罚?

编者按:本文部分内容来自cryptopotato,作者GeorgeGeorgive,Odaily星球日报王也编译.

1900/1/1 0:00:00
OIN:加密货币的救命草,土耳其的大国梦

编者按:本文来自Mars火星区块链,作者:易柏伶,Odaily星球日报经授权发布。土耳其政府终于宣布入局区块链了。9月18日,土耳其工业和技术部在安卡拉发布了《2023战略》.

1900/1/1 0:00:00
数字人:支付宝封杀OTC交易,币安这次太高调了

10月10日,支付宝安全中心在微博上发布一条动态,重申了对虚拟货币场外交易的态度:禁止将支付宝用于虚拟币交易,若发现交易涉及比特币或其他虚拟货币交易,支付宝会立即停止相关支付服务.

1900/1/1 0:00:00
区块链:比原链CEO易主,公链高管“扎堆”出走

编者按:本文来自蜂巢财经News,作者:嚯嚯,编辑:文刀,Odaily星球日报经授权转载。比原链创立两年时间,市值排名暂居第58位,创始人、CEO段新星的突然出走,让这个国产明星公链再度蒙灰.

1900/1/1 0:00:00
MATH:美国总统竞选也发币?华裔候选人杨安泽竞选代币MATH即将发布

编者按:本文来自深链财经,作者:斯诺囧,Odaily星球日报经授权转载。10月10日,据YangDividend官方消息,美国华裔总统候选人AndrewYang(杨安泽)的竞选代币TheAndr.

1900/1/1 0:00:00
CFT:星球前线 | 以太坊期货合约真的要来了?

Odaily星球日报译者|念银思唐时间更明确美国商品期货交易委员会主席HeathTarbert本周参加了华盛顿金融科技周的“炉边谈话”,他表示,2020年的某个时间.

1900/1/1 0:00:00