COIN:創宇區塊鏈｜小缺陷大損失 GYM Network 何至于此_GYM

前言

北京時間2022年6月8日，知道創宇區塊鏈安全實驗室?自動數據監測工具監測到BSC鏈上NFT項目GYMNetwork因"PublicdepositFromOtherContract"權限控制問題被攻擊，損失包括7475枚BNB，共計約216W美元，目前已將兌通過DEX換70W美元的ETH通過Celer跨鏈到以太坊，2000枚BNB利用BSC-Tornado進行混幣，余下3000枚BNB在攻擊者地址。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

被攻擊合約：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

Binance Australia用戶以低于市場9000澳元的價格出售BTC:金色財經報道，Binance澳大利亞分支機構Binance Australia上的BTC價格約為 34,000 澳元（23,062.20 美元），而澳大利亞加密貨幣交易所BTC Markets的價格為 43,000 澳元，價格出現 9000 澳元的負溢價，表明用戶正在尋求迅速賣出。此外，ETH和SOL等代幣，也出現約20%的負溢價。

本月早些時候，Binance表示，在第三方服務提供商切斷其服務后，澳大利亞的一些客戶將無法存取款。[2023/5/30 11:48:06]

攻擊者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

YGG、Magic Eden等四家公司成立Web3 Games Collective以支持鏈游發展:金色財經報道，Yield Guild Games（YGG）、Game7、Magic Eden 和 Fenix Games 成立Web3 Games Collective以推動鏈游發展，并在投資、開發、生態合作等方面給予支持。[2023/3/24 13:25:14]

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合約:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

項目方在GymSinglePool合約中實現過程中對于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函數缺少了權限控制，導致攻擊者能夠通過該函數調用內部_autoDeposit函數實現零消耗質押：

歐易OKX將于3月23日21 : 20 (HKT) 開啟ARB交易:3月23日消息，據官方公告顯示，歐易OKX將于3月23日21 : 20 (HKT) 開啟ARB交易，并于3月23日22:00 (HKT) 在網頁端、APP端及API正式上線ARBUSDT永續合約， 2023年3月24日11:00 (HKT) 上線ARB/USDT的杠桿交易、余幣寶。[2023/3/23 13:22:16]

對于應該開放給用戶的質押內部函數是_deposit函數，該函數實現了對于token的審批傳入，如下圖所示：

Coinbase因拒絕為其一賬戶安全漏洞所致資金被盜負責而被起訴:3月7日消息，紐約一名賬戶持有人Jared Ferguson對加密交易所Coinbase提起訴訟，因其在Coinbase上的9.6萬美元加密資產被盜，而Coinbase拒絕對此次安全漏洞造成的損失負責。

據悉，今年5月，Ferguson收到了移動運營商發來的一條短信，描述了其要求更換SIM卡，但這并不是他本人操作。當他第二天用一張新卡恢復iPhone服務時，他才知道其Coinbase賬戶資金被盜。Ferguson表示，根據州和聯邦法律，Coinbase應對未經授權的提款承擔責任，但該公司拒絕賠償他，并在一封電子郵件中表示，密碼和雙重驗證碼的安全是用戶的責任。

Ferguson稱，Coinbase的安全程序未能標記和保留“明顯的欺詐和未經授權的交易”。他說，他的賬戶在不到八小時內就從一臺新設備上被清空了，在他重置密碼之后，他的賬戶就從一個以前沒有與他的賬戶關聯的IP地址被清空了。（彭博社）[2023/3/7 12:46:30]

對應的_autoDeposit函數則實現了"特權"質押，即不需要轉入Token進行質押。同時該函數直接暴露給了用戶，函數對比如下：

Mango聯合創始人：被盜資金返還計劃很快將完成審核:10月20日消息，此前遭受黑客攻擊的Mango Markets將很快開始返還追回的被盜資金。Mango Labs聯合創始人Daffy Durairaj發推稱，存款人資金返還計劃正在審核中，明天早上應該就能完成。非常感謝為實現這一目標而不懈努力的所有Mango貢獻者。

據此前報道，10月16日，Mango發推稱，黑客已經按照約定將6700萬美元的加密資產歸還給DAO。UTC時間周一15:00，社區將在Mango Discord討論如何處理這些資產。一些開發人員已經開始負責并研究一種算法來確定相關賬戶的退還金額；此次還研究一個單獨的程序，以重新分配資金。Mango表示將進行多次DAO投票，以就確切的程序和金額達成一致。其中一些投票的時間將長達72小時。（CoinDesk）[2022/10/20 16:31:57]

攻擊流程

攻擊者為了防止鏈上MEV和搶跑機器人，將合約進行了分步部署執行，同時部署/調用了多次以完成對GymNetwork合約(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽離，以其中一筆部署調用為例：

1.部署合約后調用depositFromOtherContract實"特權"質押，對應0xfd4a2266方法：

內部調用細節如下:

2.調用0x30649e15實現對上一步特權質押的Token回撤：

3.利用0x1d111d13函數售出獲取到的的GYM-Token：

重復多次"特權"質押--回撤--售出步驟，攻擊者最終獲取到7475枚BNB:

為了抑制搶跑，攻擊者將添加質押和回撤進行了步驟分離，兩個步驟均為核心操作，同時刻意提高添加部分步驟的GasPrice為15/20gwei,可見攻擊者是有意為之。

溯源處置

本次攻擊原因是項目方實現的特權函數權限控制不當，在攻擊發現的1小時后項目方將GymSinglePool代理合約的邏輯合約進行了多次修改，為其添加了權限控制：

并在20分鐘后對邏輯合約添加了緊急賬戶處置函數：

而對于項目方Deployer地址分析，其部署的多個GymSinglePool合約根據追蹤僅在兩天前部署的GymSinglePool合約中存在漏洞，4天前的合約則不存在此函數：

同時代理合約對應的邏輯合約被升級為漏洞合約的事件發生在在2days13hrsago：

攻擊者的資金準備(FromTornado)則在約6小時以前，攻擊者的身份也值得令人深思。

總結

雖然只是一處小的控制缺陷，卻導致了數百萬美元的損失。項目方的處置雖較為及時，漏洞導致的損失卻難以挽回。該類型漏洞在審計過程中很容易被發現并將歸納到邏輯缺陷/不安全的外部調用，各項目方在開發和審計流程上切莫大意。

來源：金色財經

Tags：GYMOINCOINCOIGYMNETkucoin成都公司名稱IjasCoinPEECOIN價格

PEPE幣