OWN:權限問題：Crosswise被黑事件分析

Author：

Time：1900/1/1 0:00:00

此次攻擊導致協議損失87.9萬美元

近日，BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下：

Bitwise已撤回以太坊期貨ETF申請:金色財經報道，Bitwise Asset Management已撤回其向美國證券交易委員會(SEC)提交的以太坊期貨ETF申請。與此同時，Grayscale周三提交給SEC的一份修訂文件似乎表明，該公司也暫停了提供以太坊(ETH)期貨產品的計劃。Grayscale上周向SEC提交了三個新ETF的注冊文件，分別為Grayscale以太坊期貨ETF、Grayscale全球比特幣綜合ETF和Grayscale隱私ETF。但在5月17日一份修訂后的文件中，只顯示了全球比特幣綜合ETF和隱私ETF的提案。

?[2023/5/18 15:10:15]

修改owner

外媒：美國銀行和富達通過增持MicroStrategy股票對比特幣有間接風險敞口:4月11日消息，美國銀行和富達銀行在第一季度的資產負債表上持有大量MicroStrategy股票，這表明機構對間接比特幣敞口仍有興趣。

截至3月底，美國銀行顯示在第一季度購買了86,147股MicroStrategy (MSTR) 股票。根據美國證券交易委員會的一份文件，富達在同一時期增持了97,199股。兩份文件都追蹤了從1月1日到3月31日的交易，并不一定表明兩家公司的總體持股情況。

自MicroStrategy開始在其資產負債表上持有比特幣作為儲備以來，該公司的股價一直密切跟蹤比特幣的價格。許多交易員仍將這只股票視為最接近比特幣現貨敞口的公開交易代理之一。截至4月4日，MicroStrategy持有14萬枚比特幣。（Blockworks）[2023/4/11 13:56:23]

疑似Harmony跨鏈橋攻擊關聯地址將資金轉至隱私DApp RAILGUN:1月15日消息，MistTrack監測數據顯示，疑似與Harmony跨鏈橋攻擊事件有關的地址將大部分資金轉移至隱私DApp RAILGUN。據悉，RAILGUN使用ZK-SNARK避免地址被檢測到。

此外，RAILGUN官方發推稱，RAILGUN不是混幣器，資金在RAILGUN中沒有被混合。每個用戶在RAILGUN智能合約中構建一個完全獨立的zk地址。RAILGUN完全難倒了所有鏈分析軟件，它們無法工作，因為它們看不到智能合約中的zk地址。盡管如此，它們仍然創建了花哨的圖表，但關聯信息都是錯誤的。[2023/1/15 11:13:05]

首先設置trustedFowarder，然后通過transferOwnership函數修改owner。該過程中，自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制，導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果，最終使得owner可以被其他用戶修改。

紐約現代藝術博物館計劃使用拍賣收益購買 NFT:9月14日消息，紐約現代藝術博物館（MoMA）計劃拍賣CBS創始人（William S. Paley）價值7000萬美元的藝術藏品，包括畢加索等知名藝術家的作品。此外，MoMA還計劃使用部分拍賣所得購買NFT。（華爾街日報）[2022/9/14 13:29:44]