比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > 世界幣 > Info

OWN:權限問題:Crosswise被黑事件分析

Author:

Time:1900/1/1 0:00:00

此次攻擊導致協議損失87.9萬美元

近日,BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下:

Bitwise已撤回以太坊期貨ETF申請:金色財經報道,Bitwise Asset Management已撤回其向美國證券交易委員會(SEC)提交的以太坊期貨ETF申請。與此同時,Grayscale周三提交給SEC的一份修訂文件似乎表明,該公司也暫停了提供以太坊(ETH)期貨產品的計劃。Grayscale上周向SEC提交了三個新ETF的注冊文件,分別為Grayscale以太坊期貨ETF、Grayscale全球比特幣綜合ETF和Grayscale隱私ETF。但在5月17日一份修訂后的文件中,只顯示了全球比特幣綜合ETF和隱私ETF的提案。

?[2023/5/18 15:10:15]

修改owner

外媒:美國銀行和富達通過增持MicroStrategy股票對比特幣有間接風險敞口:4月11日消息,美國銀行和富達銀行在第一季度的資產負債表上持有大量MicroStrategy股票,這表明機構對間接比特幣敞口仍有興趣。

截至3月底,美國銀行顯示在第一季度購買了86,147股MicroStrategy (MSTR) 股票。根據美國證券交易委員會的一份文件,富達在同一時期增持了97,199股。兩份文件都追蹤了從1月1日到3月31日的交易,并不一定表明兩家公司的總體持股情況。

自MicroStrategy開始在其資產負債表上持有比特幣作為儲備以來,該公司的股價一直密切跟蹤比特幣的價格。許多交易員仍將這只股票視為最接近比特幣現貨敞口的公開交易代理之一。截至4月4日,MicroStrategy持有14萬枚比特幣。(Blockworks)[2023/4/11 13:56:23]

疑似Harmony跨鏈橋攻擊關聯地址將資金轉至隱私DApp RAILGUN:1月15日消息,MistTrack監測數據顯示,疑似與Harmony跨鏈橋攻擊事件有關的地址將大部分資金轉移至隱私DApp RAILGUN。據悉,RAILGUN使用ZK-SNARK避免地址被檢測到。

此外,RAILGUN官方發推稱,RAILGUN不是混幣器,資金在RAILGUN中沒有被混合。每個用戶在RAILGUN智能合約中構建一個完全獨立的zk地址。RAILGUN完全難倒了所有鏈分析軟件,它們無法工作,因為它們看不到智能合約中的zk地址。盡管如此,它們仍然創建了花哨的圖表,但關聯信息都是錯誤的。[2023/1/15 11:13:05]

首先設置trustedFowarder,然后通過transferOwnership函數修改owner。該過程中,自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制,導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果,最終使得owner可以被其他用戶修改。

紐約現代藝術博物館計劃使用拍賣收益購買 NFT:9月14日消息,紐約現代藝術博物館(MoMA)計劃拍賣CBS創始人(William S. Paley)價值7000萬美元的藝術藏品,包括畢加索等知名藝術家的作品。此外,MoMA還計劃使用部分拍賣所得購買NFT。(華爾街日報)[2022/9/14 13:29:44]

由于上一步攻擊者修改了owner,即獲取了owner權限,因此,攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

通過MasterChef合約中的withdraw函數提取了692184.64CRSS.

將CRSS兌換為BNB.

通過Tornado實現混幣,將盜取的BNB轉移到其他賬戶地址

總結:本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞,導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限,最后通過Owner權限竊取了項目中的資金。另外,攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。

安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。

來源:金色財經

Tags:OWNNERRAIRailgunCLOWN幣NER價格ORAI價格railgun幣價格

世界幣
UMB:Dumbo一個基于Defi2.0的社交+NFT的生態項目

??據悉,Dumbo將在1月20日22點在JumboSwap中發射上線。 ??關于Dumbo?? ???Dumbo是Jumbo創新實驗室打造,構建基于WEB3的SocialFI+NFT+潮牌玩偶.

1900/1/1 0:00:00
POLY:Polygon生態周報(1.16-1.23)

生態大事件 EIP-1559升級在Polygon主網上線備受關注和期待的以太坊改進方案1559已經在在Polygon鏈上,帶來了原生Matic幣的燃耗以及更清晰的費用可見性.

1900/1/1 0:00:00
NFT:專訪黃立成:亞洲幣圈大佬如何一路走來

不管你是嘻哈音樂的粉絲還是區塊鏈的玩家,黃立成aka麻吉大哥,這個名字都是極為響亮的存在。2003年嘻哈團體Machi橫空出世,那句「我的麻吉置叨」成了當時紅遍大街小巷的流行語;走之后,市場敏銳.

1900/1/1 0:00:00
人工智能:虛擬學生入學清華 中國傳媒大學打造元宇宙大學

如今,隨著人工智能、5G技術的高速發展,人機共存的序幕已經拉開,虛擬現實、虛擬人物也正逐漸應用在各種場景中.

1900/1/1 0:00:00
NFT:前方危險,Meta將要開啟NFT市場

在不久以后,Facebook和Instagram可以讓用戶使用NFT作為圖片。Meta可能會建立一個NFT市場,用戶可以在這里鑄造和交易NFT.

1900/1/1 0:00:00
WEB:風投Multicoin:我們為什么投資Web 3認證數據網絡Project Galaxy?

原標題:《InvestinginWeb3Credentialing》原作者:MableJiang,MulticoinCapital 編譯:胡韜,鏈捕手 1月25日.

1900/1/1 0:00:00
ads