CRO:Crosswise攻擊事件分析：“一兩撥千金”-ODAILY

前言

2022年1月18日，知道創宇區塊鏈安全實驗室監測到BSC上Crosswise遭遇攻擊,此次攻擊導致協議損失87.9萬美元。

攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS。實驗室將對本次事件深入跟蹤并進行分析。

基礎信息

攻擊交易哈希：

0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b

攻擊者地址：

0x748346113B6d61870Aa0961C6D3FB38742fc5089

攻擊合約：

0x530B338261F8686e49403D1b5264E7a1E169F06b

Cronos計劃于1月17日完成主網升級，升級后節點啟動時間或減少約50%:12月30日消息，Layer1區塊鏈Cronos宣布將于2023年1月17日將主網絡升級到Cronos V1.0 “Galileo”。Cronos v1.0中引入的主要改進如下：內存池優先級進一步擴展TPS；優化節點存儲：全節點存儲減少30%；GRPC查詢并發響應等節點性能提升；節點啟動時間普遍減少約50%；新的Cosmos功能為EVM/Cosmos互操作性（IBC激勵、IBC代幣轉移備忘錄字段）提供更好的便利。目前開發人員已經可以在Cronos測試網上測試Cronos V1.0。[2022/12/30 22:16:29]

MasterChef：

0x70873211CB64c1D4EC027Ea63A399A7d07c4085B

華爾街日報發布標題為《‘現金是垃圾’，4.25億美金押注BTC》的文章報道MicroStrategy公司的比特幣投資:北京時間10月31日晚，華爾街日報發布標題為《‘現金是垃圾’，4.25億美金押注BTC》的文章報道MicroStrategy公司的比特幣投資。據了解，擁有近10億美金現金的MicroStrategy已經在比特幣上投入了超過4.25億美元。文章稱，MicroStrategy本可以通過支付巨額股息或回購大部分股票來“擺脫”其剩余現金的。相反，MicroStrategy將其總資產的一半押在了比特幣上。從2020年8月起，當MicroStrategy宣布已投資比特幣2.5億美元時，其股票在一天之內上漲了9％。一個月后，公司宣布將繼續將其大部分剩余現金用于比特幣投資后，其股票在兩天內上漲了23％，短期超越了其過去幾年的股票表現。MicroStrategy的CEO Michael Saylor稱，公司購買比特幣的主要目的不是提高股價，而是防止公司的購買力下降，比起債券、股票與黃金，比特幣是相對理想的長期資產。[2020/11/1 11:21:47]

CrosswiseRouter：

動態 | Crowdlitok AG推出房地產STO 已獲列支敦士登金融市場管理局批準:據Zycrypto消息，初創公司Crowdlitok AG推出了一款房地產投資產品證券型代幣CRT。據悉，列支敦士登金融市場管理局（FMA）已經批準了該產品的招股說明書。該STO現在正在歐洲國家進行。此外，瑞士金融市場監管局（FINMA）證實，在瑞士推廣這類新型數字資產不需要特別的監管批準。[2019/7/15]

0x8B6e0Aa1E9363765Ea106fa42Fc665C691443b63

CRSS：

0x99FEFBC5cA74cc740395D65D384EDD52Cb3088Bb

攻擊核心

此次攻擊的核心在于，Crosswise中的MasterChef合約Owner地址設置即transferOwnership函數能夠被攻擊者繞過，使得攻擊者能夠成為新的Owner并對MasterChef池子進行攻擊利用。我們將本次攻擊過程分為兩個階段進行分析：獲取Owner權限攻擊和MasterChef池攻擊。

動態 | Tendmicro調查顯示針對虛擬貨幣的網絡攻擊為去年的2.4倍:9月3日，日本Tendmicro公司發表一份名為“2018年上半年安全綜述：針對云時代認證信息的網絡釣魚詐騙事件激增”的調查報告，該報告分析了日本國內外安全趨勢。報告顯示，今年上半年，日本遭遇網絡釣魚詐騙的互聯網用戶已達歷史新高，達29002247件，約為去年的2.7倍。此外，該報告稱，針對虛擬貨幣的網絡攻擊也變得異常活躍。今年上半年，全球進行虛擬貨幣挖掘的“虛擬貨幣礦工”相關攻擊的檢測數量為784,146件，為去年同期的2.4倍，而日本國內檢測出的數量也超過去年下半年達到410,5036件。[2018/9/4]

獲取Owner權限攻擊

1.由于在MasterChef合約中setTrustedForwarder函數為公開可見性且未作權限設置，攻擊者先將自己的地址設置為TrustedForwarde地址。

Crowdfire創始人將推出新交易所和平臺幣:此前印度財長賈特利重申了對虛擬貨幣的強硬態度，稱將動用一切手段打擊虛擬資產的非法活動。監管收緊的情況下，Crowdfire的創始人Nischal Shetty仍宣布將推出新的交易所Wazirx，攻克現有交易所不公開透明的問題。Wazirx將發行自己的平臺幣WRX。[2018/2/4]

2.Crosswisefi項目方對MasterChef的_msgSender()函數并未采取openzepplin的標準寫法且存在漏洞，導致攻擊者能夠通過構造惡意的calldata實現繞過onlyOwner限制完成合約Owner的獲取。

下圖為攻擊者繞過onlyOwner權限構造的惡意payload:

MasterChef池攻擊

1.攻擊者在CrosswiseRouter中用0.01個WBNB兌換出3.71個CRSS

2.攻擊者調用deposit將1個CRSS質押到CrosswiseMasterChef

3.由于上一階段攻擊者已經獲取到MasterChef的Owner權限，此時攻擊者調用set函數對MasterChef的pid為0的池子重新部署了一個未開源的策略合約:0xccddce9f0e241a5ea0e76465c59e9f0c41727003

4.攻擊者調用MasterChef的withdraw函數從池子中獲取692K的CRSS

5.最后攻擊者把692K的CRSS通過CrosswiseRouter合約swap兌換出547個BNB完成攻擊,獲利超87.9萬美元。

策略合約

猜想

由于攻擊者部署的策略合約并未開源，我們只能反向推導猜想策略合約的主要邏輯：

1.根據下圖第18行代碼可以推斷出合約中lockedAmount應該是一個極大值才能支撐攻擊者692k的代幣轉出；又根據第7-11行可以推導出攻擊者部署的strategy合約的LockeTotal()函數返回值極大、sharesTotal()返回值極小。

2.在上圖代碼23行當_amount>0時，會先計算出user的shareRemoved，然后在執行user.amount=user.amount.sub(shareRemoved);，此時若shareRemoved大于user.amount則代碼執行不會通過，可以推導出26行的shareRemoved值很小，又shareRemoved是調用攻擊者部署strategy合約中withdraw獲取，所以此時的strategy合約中withdraw的返回值會很小，小于之前質押的1個CRSS數量；再結合鏈上數據可推導攻擊者部署strategy合約中的withdraw調用返回值為0。

反編譯

為了證實我們的猜想是否正確，我們將攻擊者部署的策略合約進行反編譯。

反編譯后我們可以發現存在一個極大值和一個較小值的常量，即對應猜想1中LockeTotal和sharesTotal值，猜想1正確。

對于猜想2,經過反編譯后我們可以看到策略合約的withdraw最后的返回值為0，猜想2正確

總結

這次攻擊產生的主要原因是項目方使用錯誤的方法去獲取msgSender，導致合約的Owner權限更改能被繞過。知道創宇區塊鏈安全實驗室在此提醒，任何有關合約權限問題的操作都需要慎重考慮，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：CROROSCROSTERCROWN價格NEUROS價格CROS Tokensuter幣價格

火星幣