12月21日,鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,UniswapV3流動性管理協議VisorFinance于北京時間12月21日晚上10點18分遭受攻擊,總損失約為820萬美元。關于本次攻擊,成都鏈安技術團隊第一時間進行了事件分析。
#1事件概覽
2021年12月21日晚VisorFinance官方Twiiter發布通告稱vVISR質押合約存在漏洞,發文前已有攻擊交易上鏈。
Beosin:穩定幣協議Steadifi遭到攻擊損失約114萬美元:金色財經報道,據Beosin EagleEye監測發現,穩定幣協議Steadifi遭到攻擊,攻擊者獲取了協議部署錢包的控制權。攻擊者已將所有金庫(借貸和策略)投資組合的所有權轉移至自己控制的錢包(0x9cf71F2ff126B9743319B60d2D873F0E508810dc),目前,攻擊者已在Arbitrum和Avalanche上耗盡了所有可借出資金,并通過跨鏈橋將資產兌換成以太幣轉移到以太坊主網,被盜資金約1,140,000美元。
Steadifi正與攻擊者進行談判,提供10%的賞金以換回剩余90%的被盜資產。[2023/8/8 21:31:18]
經過成都鏈安技術團隊分析,攻擊者通過惡意合約利用VisorFinance項目的漏洞,偽造了向VisorFinance的抵押挖礦合約(0xc9f27a50f82571c1c8423a42970613b8dbda14ef)存入2億代幣的交易,從而獲取了195,249,950vVISR抵押憑證代幣。然后再利用抵押憑證,從抵押挖礦合約中取出了8,812,958VISR。
350余名Haru Invest受害者損失約7900萬美元:6月26日消息,在韓國開展業務的加密金融公司Haru Invest當前仍處于存取款暫停狀態。資金被困在Haru Invest的受害用戶組成的代表團正在接受損失認證記錄,三天內有350多名受害用戶報告其損失總金額約為1030億韓元(約7900萬美元),目前還有1000多人等待認證,總損失金額有可能達到數千億韓元。[2023/6/26 22:00:37]
#2事件具體分析
攻擊交易為:
https://etherscan.io/tx/0x69272d8c84d67d1da2f6425b339192fa472898dce936f24818fda415c1c1ff3f
安全機構:Atlantis Loans遭治理攻擊,目前損失約為100萬美元:6月11日消息,據安全機構Beosin報道,BSC生態協議Atlantis Loans遭治理攻擊,攻擊者獲得了對合約的控制權,并替換為包含后門功能的合約,以轉移用戶資產,目前損失約為100萬美元。攻擊者于2023年6月7日在GovernorBravo合約中創建惡意治理提案(ID:52),將多個ABep20Delegator合約的admin設置為惡意合約。然后攻擊者投票通過了該提案。[2023/6/11 21:30:13]
安全團隊:8月加密行業共記錄有31起重大攻擊事件,損失約2.17億美元:金色財經消息,據CertiK監測,8月份加密行業共記錄有31起重大攻擊事件,造成約2.17億美元損失,其中Nomad漏洞利用造成了1.9億美元的損失,排名第一。[2022/9/6 13:12:25]
攻擊手法大致如下:
1.部署攻擊合約
0x10c509aa9ab291c76c45414e7cdbd375e1d5ace8;
2.通過攻擊合約調用VisorFinance項目的抵押挖礦合約deposit函數,并指定存入代幣數量visrDeposit為1億枚,from為攻擊合約,to為攻擊者地址
0x8efab89b497b887cdaa2fb08ff71e4b3827774b2;
3.在第53行,計算出抵押憑證shares的數量為97,624,975vVISR.
4.由于from是攻擊合約,deposit函數執行第56-59行的if分支,并調用攻擊合約的指定函數;
第57行,調用攻擊合約的owner函數,攻擊合約只要設置返回值為攻擊合約地址,就能夠通過第57行的檢查;
第58行,調用攻擊合約的delegatedTransferERC20函數,這里攻擊合約進行了重入,再次調用抵押挖礦合約的deposit函數,參數不變,因此抵押挖礦合約再次執行第3步的過程;
第二次執行到第58行時,攻擊合約直接不做任何操作;
5.由于重入,抵押挖礦合約向攻擊者發放了兩次數量為97,624,975vVISR的抵押憑證,總共的抵押憑據數量為195,249,950vVISR。
6.提現
攻擊者通過一筆withdraw交易
,將195,249,950vVISR兌換為8,812,958VISR,當時抵押挖礦合約中共有9,219,200VISR。
7.通過UniswapV2,攻擊者將5,200,000VISR兌換為了WETH,兌換操作將UniswapV2中ETH/VISR交易對的ETH流動性幾乎全部兌空,隨后攻擊者將獲得的133ETH發送到Tornado。
#3事件復盤
本次攻擊利用了VisorFinance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:
1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<-主要漏洞,造成本次攻擊的根本原因。
2.函數未做防重入攻擊;<-次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。
針對這兩個問題,成都鏈安在此建議開發者應做好下面兩方面防護措施:
1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;
2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。
據Cointelegraph1月8日消息,土耳其電動汽車制造商Togg宣布與AvaLabs建立戰略伙伴關系,將設計和建立基于智能合約的服務,旨在改善自動駕駛.
1900/1/1 0:00:00來源:前哨科技特訓營 作者:創新地圖 最近CNBC又發布了一年一度的百萬富翁調查,和以往只是體現有錢人擔心什么不同,今年有個全新的趨勢值得你好好關注.
1900/1/1 0:00:00DeFi之道訊,1月2日,a16z合伙人ChrisDixon發推表示,NFT讓藝術、音樂、寫作、游戲和其他創意內容更加豐富,而不是更加稀缺。很多NFT的批評者聲稱,NFT限制了對創意內容的訪問.
1900/1/1 0:00:00來源&作者:CoinMixGlobalResearch 本文轉自深潮財經 前言: 以太坊在用戶使用量激增之后面臨著鏈上擁堵和費用較貴等問題,在roadmap上.
1900/1/1 0:00:00作者:DaisukeWakabayashi,MikeIsaac原標題:《TheNewGet-Rich-FasterJobinSiliconValley:CryptoStart-Ups》編譯:Ri.
1900/1/1 0:00:00“NFT”可能會成為柯林斯字典的年度詞匯,但另一個來自技術領域的概念在2021年進入了主流的視野:“元宇宙"。每個人都在談論這個話題.
1900/1/1 0:00:00