BTC:Brahma TopGear (brahTOPG) 項目存在外部調用風險，請迅速取消授權

據慢霧安全團隊監測，ETH鏈上的brahTOPG項目遭到攻擊，攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先查詢了受害用戶0x392472的余額，接著調用了Zapper合約的zapIn函數。

Brave New Coin與交易技術提供商QuantHouse合作:數據分析和研究公司Brave New Coin周二宣布，已與算法交易平臺提供商QuantHouse建立合作伙伴關系，向QuantHouse的客戶提供Brave New Coin的數據源、指數和分析。（FinanceMagnates）[2021/6/29 0:15:08]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣，由于該函數傳入的參數是外部可控的，所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

聲音 | 張泰：Libra代表國際資本要正式進入btc的市場展開獵殺與套利:6月22日訊，今日，在“火訊Facebook Libra周”線上沙龍上，ArchiBtc研究院院長張泰表示，BTC代表的金融無國界，進而代表新一時期的全人類協同，科技互聯網的力量你看見了，它是加強了現有的人類協同，但是僅僅從信息層面，加強是量變。金融的無國界，代表價值綁定的新型人類協同。這比互聯網牛多了！你看看這個新型的人類命運共同體值多少錢，BTC就值多少錢。在這個市場，價值爆發就像石油井噴一樣。重點不是預測價格的細微波段，重點是要弄清投資邏輯，搭建屬于自己的投資結構，然后以此為基礎，去攫取行業紅利，這個是大頭。每一個蘊含大型波動的市場，只要它的容量夠大，那它必將成為一個資本投資的戰場。BTC在今天的發展，是任何一個金融機構都無法忽略的。過去的btc價格變化規律和未來的BTC價格變化規律要發生反轉的變化。這個變化本身，就是由BTC的主流交易者身份的變化引起的。那么這次FB發幣事件，不僅僅是幣圈多了一個項目方。而是代表國際資本要正式進入BTC的市場展開獵殺與套利。這是大事情，天大的事情。[2019/6/22]

3.接著會調用內部函數zap，在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值，由于第二步的操作所以通過了該檢查。

聲音 | 眼鏡蛇Cobra：6個月內BCH將會分叉:眼鏡蛇Cobra在推特中表示，因為提前共識（pre-consensus）的矛盾，6個月內BCH將會分叉。[2018/8/8]

4.之后會外部調用假代幣合約的approve函數，該函數為攻擊者惡意構造，是為了給Zapper合約轉賬frax代幣，此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約，并且調用所傳入參數也是外部可構造的，所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟，總共攻擊了三次，轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題，攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags：BTCZAPAPPZapperOBTC價格AppleSwap AIZapper價格

DAI