此次攻擊導致協議損失87.9萬美元
近日,BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
事件分析
攻擊過程如下:
CZ:最好的用戶保護形式是全球一致的、基于風險的監管:金色財經報道,Binance首席執行官CZ在社交媒體上稱,最好的用戶保護形式是全球一致的、基于風險的監管。徹底的禁令只會導致用戶在陰影中操作,風險自負,沒有任何安全網。國際貨幣基金組織發布的文章支持這一立場:
1.我們的行業需要適合其跨境性質的穩健、全面和全球一致的加密監管。對于全球運作方式,它必須適應不斷變化的行業格局。
2.加密資產服務提供商應獲得許可、注冊和授權。許可和授權標準應明確定義。
3.履行多項職能的實體應遵守額外的監管、透明度和/或披露要求。
4.穩定幣是許多用例中保值的關鍵工具,應該受到監管以發揮其潛力并確保市場完整性。當立法者和監管者擴大允許的活動范圍時,用戶保護和市場誠信得到加強。我們在許多其他行業都看到了這一點:tradfi、醫療保健、制藥、互聯網、內容等。[2023/1/24 11:28:39]
修改owner
富國銀行投資研究所:美國經濟已經處于衰退之中:7月8日消息,富國銀行投資研究所認為,沒有必要再為美國經濟何時陷入衰退而感到煩惱了,因為美國經濟已經處于衰退之中。該研究所指出,美國通脹比預期更快更廣,消費者信心減弱,企業支出也在發生變化。這一預測與一個多月前相比更加悲觀,當時該所預計美國經濟會出現輕微的衰退,且時間不會早于今年年底;如今其將衰退時間預估提前,并將衰退的嚴重程度提高到了“溫和”。且該所分析師認為,美國經濟已在上半年進入技術性衰退,下半年就業和消費將惡化。(金十)[2022/7/8 1:59:18]
BitWell:平臺資產流動性儲備豐沛 用戶提幣一切正常:6月18日消息,近段時間,由于市場價格波動引發了一系列黑天鵝事件,導致部分機構和平臺資金出現流動性危機并宣布關閉提現,造成用戶恐慌。
對此,成長型資產交易平臺BitWell發布官方公告表示,平臺數字資產流動性儲備非常豐沛,所有資產均通過多層冷錢包體系進行儲備,不會出現任何兌付困難和延遲提幣的情況。同時,BitWell聲明,平臺從未與LUNA、Celsius、3AC等機構和平臺進行過業務合作,運營一切正常,所有服務均可正常使用,充提自由,無需擔心。[2022/6/18 4:36:19]
首先設置trustedFowarder,然后通過transferOwnership函數修改owner。該過程中,自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制,導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果,最終使得owner可以被其他用戶修改。
Polygon、Juno和Fantom區塊鏈網絡正嘗試吸引Terra鏈上項目:5月16日消息,在Terra生態系統崩潰之后,Polygon、Juno和Fantom區塊鏈正試圖吸引Terra鏈上項目。隨著流動性緊縮,Terra托管應用程序背后的一些開發人員已經開始準備遷移到其他區塊鏈網絡,目前已經決定關閉Terra協議的NFT和DeFi項目包括Kujira、Stader Labs、Luna Bulls、Lunar Flip和Hero NFT等。
Polygon Studios首席執行官Ryan Wyatt已經在社交媒體上表示,他的團隊正在與基于Terra的項目密切合作,以幫助他們遷移到Polygon區塊鏈網絡上;Juno也發起新的治理提案,要求社區批準為遷移到其鏈上的Terra項目提供100萬枚JUNO Token(約合700萬美元)激勵措施。此外,Fantom宣布正在為Terra項目提供贈款、營銷和生態系統對接服務。(TheBlock)[2022/5/16 3:20:05]
由于上一步攻擊者修改了owner,即獲取了owner權限,因此,攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。
通過MasterChef合約中的withdraw函數提取了692184.64CRSS.
將CRSS兌換為BNB.
通過Tornado實現混幣,將盜取的BNB轉移到其他賬戶地址
總結:本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞,導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限,最后通過Owner權限竊取了項目中的資金。另外,攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。
安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。
來源:金色財經
Circle的USDC在以太坊網絡上的總供應量超過了Tether(USDT),達到了一個重要的里程碑.
1900/1/1 0:00:00原文作者:Sinclair原文標題:《TheRiseandDemiseofRSS》 原文編譯:姚昌林 前言: 老一輩互聯網人讀這篇文章應該會很有感觸,做區塊鏈的新一代,也會看到很多熟悉的現象.
1900/1/1 0:00:001月16日,“鏈你我?贏未來”2021上海區塊鏈年度盛典成功舉行。本次大會旨在弘揚科技領域的創新精神,建設和壯大科技創新隊伍,促進戰略分享以及產業鏈間的跨界跨行業跨領域協同發展.
1900/1/1 0:00:00近日,加密視頻播客UpOnly邀請到以太坊創始人Vitalik進行對話,主持人為知名加密行業KOL?Cobie與Ledger.
1900/1/1 0:00:00原文來源|BitcoinMagazine 編譯|白澤研究院 在今年晚些時候,比特幣將慶祝其第14個“生日”。在過去的14年里,比特幣取得了長足的進步,其市值在2021年曾超過1萬億美元.
1900/1/1 0:00:00自我們于2021年5月啟動ProjectGalaxy以來已經快9個月了。過去9個月非常瘋狂,我們取得的成就遠遠超出了我們的預期。在此期間,我們擁有來自6個不同區塊鏈生態系統的15萬唯一鏈上用戶.
1900/1/1 0:00:00