HAC:成都鏈安揭露：FAIRWIN 智能合約漏洞技術分析_makerdao代幣

近日，FAIRWIN智能合約存在漏洞這一問題引起各方關注，FAIRWIN作為近日以太坊鏈上交易量最高的資金盤模式應用，在以太坊鏈上還存在大量類似的克隆盤，如果存在隱藏漏洞會給公鏈帶來較大風向，因此成都鏈安安全人員對FAIRWIN智能合約展開了深度分析，分析結果如下：通過對FAIRWIN合約代碼進行審計，我們發現其合約存在一個remedy()接口，如果合約owner沒有通過close()關閉接口時，該接口可以被任意用戶調用，并且可以通過這個接口偽造投注數據，實現“無中生有”，在不使用任何資金的情況下偽造了充值記錄，之后攻擊者便可以享受分紅，或者通過userWithDraw()將余額全部提出。

成都鏈安：GYM Network 項目的GymSinglePool遭受攻擊:6月8日消息，據成都鏈安安全輿情監控數據顯示，GYM Network 項目的GymSinglePool遭受了攻擊。因為_autoDeposit函數未轉入抵押的代幣，攻擊者惡意調用了depositFromOtherContract函數記賬，并憑空提取了GYM token，目前2000BNB已進了Tornado Cash，3000BNB存放在攻擊賬戶中，價值70W美元的ETH轉入了以太坊。[2022/6/8 4:10:43]

通過鏈上記錄，我們發現項目方已于2019年7月28日通過closeAct關閉了該接口。通過成都鏈安Beosin-AML系統分析項目方所有的交易記錄，我們進一步分析是否已經存在攻擊者插入投注數據成功的情況。通過分析發現，該漏洞已被嚴重濫用。從十天前到現在為止，陸續有賬戶嘗試調用remedy()接口來插入投注數據，不過由于該操作已被關閉，導致插入數據失敗，可以看到插入金額都是幾萬ETH。插入失敗記錄：

成都鏈安：hackerDao項目遭受價格操控攻擊，獲利資金已轉至Tornado.cash:金色財經消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，hackerDao項目遭受價格操控攻擊。成都鏈安安全團隊第一時間進行分析，發現攻擊者先從先閃電貸借出2500WBNB，拿出部分WBNB兌換出大量hackerDao，然后將這筆hackerDao發送WBNB/hackerDao；并調用該交易對合約的skim函數將多余代幣領取至BUSD/hackerDao。由于hackerDao代幣在轉賬時，如果轉賬接收地址是BUSD/hackerDao時，會同步減少發送者的代幣余額以收取手續費，因此,WBNB/hackerDao交易對中的hackeDao數量被異常減少，從而影響該交易對的代幣價格，使得攻擊者最終利用WBNB/hackerDao兌換出WBNB時，獲取額外的收益。目前攻擊者實施了兩次攻擊，總計獲利約200BNB，已經轉至Tornado.cash 。[2022/5/24 3:38:37]

通過完整追溯，我們總共發現503條插入成功的交易記錄，且插入日期都在項目方關閉接口之前。經統計，這503條交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b發起。

分析 | 成都鏈安：錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事，成都鏈安在接受金色財經采訪時指出：“safuwallet是第三方extension插件錢包，用戶資產被盜，主要原因還是私鑰被盜，發生了這樣的問題，對于錢包服務器而言只要不存儲用戶的私鑰，只做相關交易數據的處理的話，兩者之間就沒有關系，如果服務器存儲了用戶的私鑰，那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼，黑客可能先將惡意代碼注入到safuwallet中，然后引誘受害者安裝錢包，再獲取到受害者的私鑰后，進行相關代幣的轉移。事實上，對于非官方錢包，安全性確實不太好保障。對于此類錢包，私鑰被盜的時間時有發生。對于這個事件，后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

通過統計得出總共插入了5093個ETH，其中包括4711個凍結ETH，382個未凍結ETH。并且攻擊者通過插入投注記錄設置的500多個小號已經進行過提現操作。

通過進一步分析其合約部署情況發現，在項目方關閉actStu的前一天，也就是2019年7月27日，項目方剛剛部署FAIRWIN合約，在短短一天時間不到之內，項目合約之內便無中生有了5000多個ETH。7月29日，以太坊瀏覽器顯示合約進行了開源。

Tags：ACKHACDAOBNBJack RaffleHACHI幣makerdao代幣BNB公鏈智能挖FTM可靠嗎

fil幣價格今日行情