2023年5月6日,据Beosin-Eagle Eye态势感知平台消息,算法稳定币DEI项目合约遭受黑客攻击,黑客获利约630万美元。Beosin安全团队第一时间对事件进行了分析,结果如下。
事件相关信息
攻击交易
https://bscscan.com/tx/0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3
https://arbiscan.io/tx/0xb1141785b7b94eb37c39c37f0272744c6e79ca1517529fec3f4af59d4c3c37ef
Wormhole通过Immunefi平台修复一高危漏洞,黑客获1000万美元奖励:5月21日,据Immunefi官方消息,白帽黑客satya0x通过该平台为跨链桥Wormhole检举出一高危漏洞,并因此获得1000万美元奖励金,创下Immunefi平台获奖金额最高记录。该漏洞很快得到修复,没有用户资金受到影响。[2022/5/21 3:32:04]
攻击者地址
Bsc:0x08e80ecb146dc0b835cf3d6c48da97556998f599
Arbitrum:0x189cf534de3097c08b6beaf6eb2b9179dab122d1
被攻击合约
0xde1e704dae0b4051e80dabb26ab6ad6c12262da0
派盾:BNB Chain和以太坊上的Umbrella Network奖励池被抽取,黑客获利70万美元:3月20日消息,派盾发推称,BNB Chain和以太坊上的Umbrella Network奖励池已被抽取,导致黑客获利70万美元。可能发生了黑客攻击,因为withdraw()中存在未检查的下溢,所以任何人都可以提取任何金额,即使没有任何余额。并提醒Umbrella Network查看BNB Chain和以太坊上的StakingReward Contract。[2022/3/20 14:07:51]
两条链上漏洞原理以及攻击手法相同,这里以Bsc链上交易为例进行分析:
1.攻击者调用攻击合约的0xf321f780函数发起攻击。
动态 | Binance首席执行官赵长鹏否认黑客获取私人用户信息:据dailyhodl消息,加密货币交易所Binance首席执行官赵长鹏否认黑客获取私人用户信息的说法。赵赵长鹏说,最近在社交媒体上流传的关于黑客知道客户(KYC)数据的传闻是试图传播恐慌,并且交易所正在调查此事。Binance安全团队澄清“将这些数据与我们系统中的数据进行比较时存在不一致之处。目前没有提供证据表明任何KYC图像是从Binance获得的。”[2019/8/8]
2.攻击合约首先调用DEI合约的approve函数给pair授权一个很大的值,随后调用DEI合约的burnFrom函数,传入pair地址。
黑客获得比特币黄金(BTG)钱包的Github存储库访问权限 :据了解,BTG发送了一个重要警告,称部分Windows版本的Github中存在一个可疑的原始文件。BTG警告用户:“除非我们了解这个文件的作用,否则所有的用户都应该假定这个文件是恶意的,可以窃取加密货币和/或用户信息。虽然该文件不会触发反病/反恶意软件软件,但不要认为该文件是安全的。”[2017/11/27]
3.随后,攻击合约直接调用DEI合约的transferFrom函数将pair的DEI代币全部转移给攻击合约,只剩下一个单位的DEI代币。
4.之后,攻击合约调用pair的sync函数,更新储备量,此时pair中只有1个单位的DEI和超130万枚USDT。
5.最后,攻击合约使用所有的DEI将USDC全部兑换出来。
我们从上述的攻击过程不难发现,本次事件的主要问题在于第2步与第3步,攻击者调用了approve和burnFrom函数之后,为什么就能直接调用transFrom函数将“其他人”的代币转移走?
我们看一下approve与burnFrom函数的代码,approve函数为正常授权函数,并没有什么问题,关键在于burnFrom函数(如下图),burnFrom函数正常逻辑是获取被销毁地址给调用者地址授权数量,之后将授权数量减去销毁数量的新值用于更新授权数量。可以看到,309行的代码函数获取用户授权值,而开发者将被销毁地址与调用者地址写反,导致获取的授权值是黑客可以任意设置的,在这之前,黑客调用approve函数授权了一个巨大的数,所以这里获取的值是一个巨大的值,在310行代码,将授权值进行更新,这里传递的值就是一个异常大的值,导致burnFrom函数调用结束后,pair地址给黑客地址授权了一个巨大的值,而黑客也能任意控制pair的代币。
截止发文时,被盗资金还未被攻击者转出。
针对本次事件,Beosin安全团队建议:
1.合约开发时,涉及权限相关的函数一定要仔细思考其运行逻辑,并做好每一步的测试,防止因为粗心大意导致不可挽回的后果。
2. 项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
Beosin
企业专栏
阅读更多
金色荐读
金色财经 善欧巴
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Odaily星球日报
MarsBit
Arcane Labs
深潮TechFlow
自诞生起的 15 年间,比特币很少被用于点对点转账及价值存储外的其他用途。但随着 Ordinals 协议的出现,这条古老的公链也焕发了新的生机.
1900/1/1 0:00:00作者:Miles Deutscher,加密KOL;翻译:金色财经0x25PEPE在短短21天内上涨375,000倍之后, 改变了许多人的生活。你也可以通过Meme币改变你的生活.
1900/1/1 0:00:002023年4月28日,据Beosin-Eagle Eye态势感知平台消息,0vix Protocol项目遭受闪电贷攻击,损失约为200万美元.
1900/1/1 0:00:00$PEPE 的成功引发了新一波的 meme 币浪潮,但是相比于一路暴涨,RUG 和垃圾币才是常态。如何在投资 meme 币时避免这样的情况呢?今天这篇指南可能会对你有帮助.
1900/1/1 0:00:00作者:Paul Veradittakit,Pantera Capital合伙人;翻译:金色财经0xnaitive加密技术的进步让Polkadot和Solana等公链的TPS可以达到数千.
1900/1/1 0:00:00Arbitrum 空投的财富效应点燃了市场对L2的信心,纷纷布局还未发币的L2。而80亿美元高估值的StarkWare自然是备受瞩目.
1900/1/1 0:00:00