8月10日,去中心化年金協議?PunkProtocol遭到攻擊,損失890萬美元,后來團隊又找回了495萬美元。
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,攻擊原因在于投資策略中找到了一個關鍵漏洞:CompoundModel代碼中缺少初始化函數的修飾符的問題,可以被重復初始化。希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
一、事件分析
黑客1的兩筆攻擊交易:
0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281
Swap-LP合約被惡意利用,造成約110萬美元損失:金色財經報道,據CertiK監測,Swap-LP合約(0xe0c352c56af65772ac7c9ab45b858cb43d22f28f)被惡意利用,造成約110萬美元損失。黑客(0xdead)將盜用的資金存入了Tornado.Cash。據悉,攻擊者在 Swap-LP 合約地址中操縱了一個低級調用,觸發了 SwapLP Pair 的 0x33604058 函數。這導致該對中的所有 WDZD 代幣都轉移到了合約地址。因此,攻擊者能夠從未經驗證的地址(開頭地址:0x3c4e06d)獲取大量 SWAP LP,使用較少的 WDZD 并隨后銷毀 LP 以獲利。[2023/5/22 15:17:46]
0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa
安全團隊:Audius項目惡意提案攻擊簡析,攻擊者總共獲利約108W美元:7月24日消息,據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,Audius項目遭受惡意提案攻擊。成都鏈安安全團隊簡析如下:攻擊者先部署惡意合約并在Audius: Community Treasury 合約中調用initialize將自己設置為治理合約的監護地址,隨后攻擊者調用ProposalSubmitted 提交惡意85號提案并被通過,該提案允許向攻擊合約轉賬1,856w個AudiusToken,隨后攻擊者將獲得的AudiusToken兌換為ETH,總共獲利約108W美元,目前獲利資金仍然存放于攻擊者地址上(0xa0c7BD318D69424603CBf91e9969870F21B8ab4c)。[2022/7/24 2:34:31]
動態 | 惡意程序Snatch進入安全模式向受害者勒索比特幣:Sophos的安全研究團隊近日發現了名為Snatch的勒索軟件,利用Windows的功能來繞過安裝在PC上的安全軟件。這款勒索軟件會讓用戶的PC崩潰,并迫使受感染設備重新啟動進入安全模式。而在安全模式下,通常會禁用防病和其他安全軟件,從而允許該惡意程序作為服務進行自啟,對PC進行全盤加密,最后向受害者勒索比特幣。[2019/12/12]
黑客2的兩筆攻擊交易
0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b
0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1
分析 | 過去12年約4%的門羅幣由惡意軟件挖掘:據btcmanager報道,馬德里卡洛斯三世大學和倫敦國王學院的研究人員發現,從2007年到2018年,大約有5700萬美元的門羅幣(Monero)由惡意軟件挖掘,約占總量的4%。[2019/1/23]
黑客2的攻擊合約地址:
0x00000000b2ff98680adaf8a3e382176bbfc34c8f
黑客2的地址:
0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a
0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c
黑客2退回的兩筆交易地址:
0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198
0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce
下面以黑客1正式攻擊交易為例
黑客的攻擊執行了delegateCall,將攻擊者的合約地址寫入到compoundModel中initialize函的forge_參數。setForge(address)函數在初始化函數中執行。這是一個修改Forge地址的功能。
然后,它執行withdrawToForge函數并將所有資金發送到攻擊者的合約。
隨后在調用initialize函數發現forge_參數已經被替換成攻擊者合約的地址。
鏈接到forge_的所有CompoundModel都使用相同的代碼,因此所有資產都轉移到攻擊者的合約中。目前,導致黑客入侵的代碼已被項目方修補。添加了兩個Modifiers,這樣只有ContractCreator可以調用Initialize函數并控制它只被調用一次。
二、安全建議
本次攻擊的根本原因在于CompoundModel合約中缺少對初始化函數的安全控制,可以被重復初始化。初始化函數應只能調用一次,而且需要進行調用者權限鑒別;如果合約是使用初始化函數,而不是在構造函數中進行初始化,則應使用安全合約庫中的初始化器來進行初始化。避免合約被惡意操縱,造成合約關鍵參數和邏輯的錯誤。
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。
比推消息,VitalikButerin在最新博文中宣布了新的ERC-4337更新提案。他還在文章中討論了更新后將引入的新功能以及新ERC給網絡帶來的可能性.
1900/1/1 0:00:00據《經濟時報》9月22日報道,摩根大通任職時間最長的首席執行官JamieDimon在接受《印度時報》在線采訪時,分享了對全球和印度經濟形勢的評估.
1900/1/1 0:00:00巴比特訊,9月15日,Loot項目創始人DomHofmann發推表示已在Fantom上部署合成Loot,隨后.
1900/1/1 0:00:00自2014年以來,各大公司一直在探索將區塊鏈技術用于不同的用例。Blockdate的最新研究調查了全球100強上市公司中有多少家正在使用區塊鏈技術、他們投資的區塊鏈公司以及他們對加密貨幣的公開立.
1900/1/1 0:00:00Liquidityads是一個最近在c-lightningv0.10.1中實現的規范,是閃電網絡的一個重要補充。它體量雖輕,卻能讓網絡以去中心化的方式在網絡中協調流動性部署,并保證可訪問性.
1900/1/1 0:00:00原標題:《區塊鏈在商業銀行貸款業務中的應用》作者:北京大學王思遠,本文僅代表作者觀點原文鏈接:https://mp.weixin.qq.com/s/iedn754v0GJz70bCKTdt2Q貸.
1900/1/1 0:00:00