LIBRA:Brahma TopGear (brahTOPG) 项目存在外部调用风险，请迅速取消授权

据慢雾安全团队监测，ETH链上的brahTOPG项目遭到攻击，攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下：

1.攻击者首先查询了受害用户0x392472的余额，接着调用了Zapper合约的zapIn函数。

DeFi期权交易平台BracketX上线Arbitrum One主网:11月30日消息，DeFi项目开发商Bracket Labs发推称，DeFi期权交易平台BracketX现已正式上线Arbitrum One主网。

BracketX是DeFi衍生品协议Bracket Protocol的应用程序，为非托管的DeFi用户提供多头和空头杠杆。[2022/11/30 21:11:48]

2.首先函数会为合约转账requiredToken参数所指定的代币，由于该函数传入的参数是外部可控的，所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。

Abra CEO：美国政府的经济刺激政策最终将促进比特币采用:加密钱包和交易所解决方案公司Abra首席执行官Bill Barhydt表示，美国政府试图解决当前经济形势的努力，最终可能导致比特币得到更大的采用。

Barhydt在8月13日接受Morgan Creek Digital联合创始人Anthony Pompliano的采访时表示，“我认为这是比特币作为一种新资产类别的关键时刻。”Barhydt指出，美国政府有意造成通胀的目标是其论点的理论基础。作为其主张理由的一部分，Barhydt提到有关美国政府即将实现4%通胀目标的传闻，“他们觉得他们别无选择，除了基本上通过提振经济来创造增长。”（Cointelegraph）[2020/8/14]

3.接着会调用内部函数zap，在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值，由于第二步的操作所以通过了该检查。

声音 | 任泽平： 应鼓励腾讯阿里加入Libra 推动人民币纳入Libra的储备资产:昨日，恒大集团首席经济学家任泽平发文表示，应鼓励互联网企业发币，鼓励企业加入Libra，推动人民币纳入Libra的储备资产。我国互联网行业巨头腾讯、阿里巴巴等在区块链技术领域均有所开拓，并且互联网企业用户基础较好，法币潜力巨大。未来是否进行数字货币研发还取决于监管当局的态度。此外还可以鼓励我国互联网企业成为Libra合作伙伴，积极加入Libra协会理事会，参与重大政策或技术性决策的表决，推动人民币进入Libra储备资产。[2019/8/2]

4.之后会外部调用假代币合约的approve函数，该函数为攻击者恶意构造，是为了给Zapper合约转账frax代币，此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。

5.最后外部调用了swapTarget参数所指定的合约，并且调用所传入参数也是外部可构造的，所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。

6.攻击者重复以上步骤，总共攻击了三次，转移了三个受害者账户下的USDC代币约889,343枚。

此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查，导致了任意外部调用的问题，攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

标签：LIBLIBRAZAPKETLIBERO币libra币最新消息PlayZapMarketing Samurai

酷币交易所热门资讯