ANY:慢雾分析Multichain被盗经过，合约一函数未检查用户传入Token的合法性

?Multichain(AnySwap)此前一个影响6个跨链Token的关键漏洞被利用，导致被盗取445ETH。慢雾安全团队分析了安全事件经过，

1.用户可以通过Multichain的AnyswapV4Router合约进行资金跨链操作，在进行资金跨链时用户需要将待跨链的代币授权给AnyswapV4Router合约。??

2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函数。此函数允许用户在链下进行授权签名，链上验证并授权的操作。在此函数中，其会先通过调用用户传入的Token地址的underlying函数来获取underlying代币地址(正常情况下用户传入的Token地址应该是anyToken，获取underlying代币应该是用户要跨链的资产，如anyUSDT与USDT)，随后通过underlying代币的permit函数进行签名检查与授权操作，授权完成后通过safeTransferFrom将代币转入anyToken合约中，最后通过_anySwapOut触发事件。??

慢雾：近期出现假冒UniSat的钓鱼网站，请勿交互:5月13日消息，慢雾首席信息安全官 @IM_23pds 在社交媒体上发文表示，近期有假冒比特币铭文钱包及交易市场平台 UniSat 的钓鱼网站出现，经慢雾分析，假网站有明显的传统针对 ETH、NFT 钓鱼团伙的作案特征，或因近期 BRC-20 领域火热故转而制作有关该领域的钓鱼网站，请用户注意风险，谨慎辨别。[2023/5/13 15:01:11]

3.但由于anySwapOutUnderlyingWithPermit函数中未检查用户传入的token的合法性，且由于WETH代币不存在permit函数的同时实现了fallback函数，而permit函数接口也恰好没有返回值，因此在对WETH合约的permit函数进行调用时是不会抛出错误的。攻击者正是利用此问题构造了恶意的Token地址，使得anySwapOutUnderlyingWithPermit函数获取的underlying为WETH，将先前有将WETH代币授权给AnyswapV4Router合约的用户的WETH直接转移到攻击者恶意构造的Token地址中。??

动态 | 慢雾：巨鲸被盗2.6亿元资产，或因Blockchain.info安全体系存在缺陷:针对加密巨鲸账户（zhoujianfu）被盗价值2.6亿元的BTC和BCH，慢雾安全团队目前得到的推测如下：该大户私钥自己可以控制，他在Reddit上发了BTC签名，已验证是对的，且猜测是使用了一款很知名的去中心化钱包服务，而且这种去中心化钱包居然还需要SIM卡认证，也就是说有用户系统，可以开启基于SIM卡的短信双因素认证，猜测可能是Blockchain.info，因为它吻合这些特征，且历史上慢雾安全团队就收到几起Blockchain.info用户被盗币的威胁情报，Blockchain.info的安全体系做得并不足够好。目前慢雾正在积极跟进更多细节，包括与该大户直接联系以及尽力提供可能需求的帮助。[2020/2/22]

此次主要是由于anySwapOutUnderlyingWithPermit函数未检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。??

动态 | 慢雾预警：警惕新型“交易排挤攻击”:根据慢雾威胁情报分析系统分析，今日凌晨，EOS.WIN 遭遇黑客攻击。EOS.WIN 的攻击者 loveforlover 采用的是新型攻击手法，为“交易排挤攻击”，这种攻击手法与之前攻击 bocai.game 的攻击手法为同一种攻击手法。攻击者首先是使用 loveforlover 发起正常的转账交易，然后使用另一个合约帐号检测中奖行为。如果不中奖，则发起大量的 defer 交易，将项目方的开奖交易“挤”到下一个区块中，此次攻击源于项目方的随机数算法使用了时间种子，使攻击者提升了中奖几率，导致攻击成功。截止发文前，EOS.WIN 项目方仍未进行合约升级。慢雾安全团队在此建议所有的项目方和开发者不要在随机数算法内加入时间种子，防止被恶意攻击。[2019/1/11]

参考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d

标签：ANYSWAPAnyswapINGGANY价格Sudoswapanyswap币界shping币前景

Bitcoin热门资讯