據慢霧區消息,2021 年 6 月 29 日,去中心化跨鏈交易協議 THORChain 發推稱發現一個針對 THORChain 的惡意攻擊,THORChain 節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析,經分析發現,這是一起針對跨鏈系統的“假充值”攻擊,結果分享如下:
什么是“假充值”?
當我們在談論“假充值”攻擊時,我們通常談的是攻擊者利用公鏈的某些特性,繞過交易所的充值入賬程序,進行虛假充值,并真實入賬。
隨著 RenVM、THORChain 等跨鏈服務的興起,跨鏈節點充當起了交易所的角色,通過掃描另一條公鏈的資產轉移情況,在本地公鏈上生成資產映射。THORChain 正是通過這種機制,將以太坊上的代幣轉移到其它公鏈。
MDEX官方:UniSwap上假幣MDX與MDEX沒有任何關系:近日,有用戶舉報發現UniSwap上出現冒充MDEX的假幣。據MDEX官方核實,該網站使用“MDEX.COM”標志,并使用MDX為代幣名稱,冒充MDEX發幣嚴重侵犯了MDEX品牌聲譽與用戶利益。MDEX官方團隊發布聲明稱:“UniSwap鏈上假幣MDX與MDEX沒有任何關系,請用戶謹慎辨別。” MDEX團隊同時對用戶發出提醒稱,有關MDEX官方的所有進展和信息,均會通過官網公告及官方渠道進行發布。請廣大投資者保持警惕,謹防上當受騙。[2021/1/20 16:33:19]
漏洞分析
我們從業務邏輯入口去追蹤分析此漏洞的成因。
首先看到在處理跨鏈充值事件時,調用了 getAssetFromTokenAddress 方法去獲取代幣信息,并傳入了資產合約地址作為參數:
波卡生態項目Acala:此前ACA假幣騙局是網站Bug目前已被修正:9月23日,波卡生態項目Acala官方再次發推,對此前Uniswap上的ACA假幣騙局作出聲明。官方表示,現已被告知ACA假幣是網站網站Bug,目前已被修正。官方再次提醒稱,用戶需保持警惕。此前9月7日及15日,Acala官方兩次發推提醒稱,官方還沒有發行ACA代幣,用戶需警惕Uniswap上的ACA假幣。[2020/9/23]
- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go?
動態 | 歐洲刑警組織緝拿假幣團隊 涉及價值144萬美元比特幣獲利:據Cointelegraph 9月10日消息,歐洲刑警組織查獲一批假幣。犯罪團伙自2017年以來售出130萬歐元假鈔,在黑網上出售假鈔以換取比特幣(BTC),獲得比特幣總價值144萬美元。據稱,這些筆記是他們遇到過的最優質的偽造品,帶有水印和全息圖等特征。[2019/9/10]
在 getAssetFromTokenAddress 方法里,我們看到它調用了 getTokenMeta 去獲取代幣元數據,此時也傳入了資產合約地址作為參數,但在此處有一個定義引起我們的警覺,在初始化代幣時,默認賦予了代幣符號為 ETH,這就是漏洞的關鍵點之一:asset := common.ETHAsset,如果傳入合約地址對應的代幣符號為 ETH,那么此處關于 symbol 的驗證將被繞過。
聲音 | 何一:應警惕市場上各種假幣騙局:幣安聯合創始人何一剛剛發布微博稱,有網友稱某代幣的第二持有人是幣安地址,向何一詢問真實性。何一表示:“1、這個智能合約地址是假的,你們確實被騙了,注意警惕市場上的各種假幣騙局;2、官方聲明了幣安是唯一的合作方,這就是全部信息了。 ????”[2019/2/20]
- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
繼續驗證我們的猜測,我們看到當代幣地址在系統中不存在時,會從以太坊主鏈上去獲取合約信息,并以獲取到的 symbol 構建出新的代幣,此時所有的漏洞成因都已經顯現:
- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
- bifrost/pkg/chainclients/ethereum/tokens_db.go
- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
總結一下,首先是由于錯誤的定義,如果跨鏈充值的 ERC20 代幣符號為 ETH,那么將會出現邏輯錯誤,導致充值的代幣被識別為真正的以太幣 ETH。
還原攻擊真相
我們來看一筆攻擊交易的執行過程,可以提取出充值的代幣合約地址:
我們在 Etherscan 上查看這個代幣合約地址:
發現這個地址對應的合約的代幣符號正是 ETH,攻擊者正是通過部署了假幣合約,完成了這次跨鏈假充值。
漏洞修復
漏洞補丁:
項目方在發現攻擊后快速對代碼進行了修復,刪除了默認的代幣類型,使用 common.EmptyAsset 進行空代幣定義,并在后續邏輯中使用 asset.IsEmpty() 進行判斷,過濾了沒有進行賦值的假充值代幣。
總結
幸運的是項目方及時發現了本次攻擊,未造成巨額財產損失,但作為跨鏈系統,未來可能聚集巨額的多鏈資金,安全性不容忽視,因此慢霧安全團隊建議在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,做好狀態監控和預警,必要時可聯系專業安全公司進行安全審計。
Tags:ETHDEXMdexHERetha幣價格DexfolioMDEX去中心化交易所男生突然把網名改成Ethereal
隨著薩爾瓦多通過法律使比特幣成為法定貨幣,許多拉丁美洲國家的議員表達了對比特幣的興趣。這些國家包括巴拉圭、阿根廷、巴拿馬、巴西和墨西哥。據報道,湯加群島和坦桑尼亞也對比特幣表示了興趣.
1900/1/1 0:00:00毋庸置疑,現在DeFi已經擁有了初步成熟的交易與借貸市場,并且遠離了當初只有概念與框架的階段。可盡管如此,去中心化交易的資金利用率系統等還有著極大的設計提升空間.
1900/1/1 0:00:00固定利率貸款是傳統金融中最常見的貸款類型,固定利率(fixed rate)允許參與者鎖定一個預先確定的利率,而不必承受利率波動的風險.
1900/1/1 0:00:00到月球上! 這就是加密貨幣愛好者會告訴我們的加密貨幣的未來前景。然而,正如目前的情況所顯示的,如果穩定幣造成的一些短期問題不能永久解決,加密貨幣可能真的會成為月球上使用的貨幣.
1900/1/1 0:00:00短期內,穩定幣會使人們能夠以實際的方式進行交易,而長期穩定則使其他重要的金融功能如貸款和信貸得以實現.
1900/1/1 0:00:00金色財經 區塊鏈6月26日訊 2021年無疑是屬于NFT的一年。就在如今較為低迷的數字貨幣市場環境中,非同質化代幣NFT卻在依舊瘋狂生長.
1900/1/1 0:00:00