APP:Brahma TopGear (brahTOPG) 項目存在外部調用風險，請迅速取消授權_ZAP

據慢霧安全團隊監測，ETH鏈上的brahTOPG項目遭到攻擊，攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先查詢了受害用戶0x392472的余額，接著調用了Zapper合約的zapIn函數。

幣安與韓國SM Brand Marketing建立戰略合作伙伴關系:2月23日，幣安宣布與韓國娛樂公司SM Entertainment (SM) 的子公司SM Brand Marketing(SMBM) 簽訂諒解備忘錄，達成戰略合作伙伴關系，雙方將把NFT領域的合作和打造聯合生態基金作為合作的起點。

幣安和SMBM將建立全球Play-to-Create (P2C) 生態系統，SM將成為IP提供者，幣安將成為技術提供者，通過使用電商和元宇宙平臺內提供的工具和IP，用戶可以使用游戲、音樂、舞蹈和商品的形式對內容和產品進行重新創作。(韓聯社)[2022/2/23 10:09:58]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣，由于該函數傳入的參數是外部可控的，所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

聲音 | 諾貝爾獎得主：Libra的發展更像是對全球央行的提醒:諾貝爾經濟學獎獲得者Jean Tirole接受專訪時表示，央行的數字貨幣是伴隨區塊鏈技術而生的官方的貨幣，像Libra這樣的非官方加密貨幣技術的發展更像是一種對全球央行的提醒，讓它們也去做一些有用的技術變革。同時，區塊鏈技術也分不同種類。比如圍繞比特幣的區塊鏈技術是開放的，也有一些區塊鏈技術只有在系統認證允許的情況下才能運作，比如央行可以給一些銀行授權使用這種數字貨幣系統。（第一財經）[2019/12/16]

3.接著會調用內部函數zap，在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值，由于第二步的操作所以通過了該檢查。

聲音 | 立陶宛財長：關于Libra等穩定幣的監管，需要一個全球性的解決方案:立陶宛財政部長Vilius Sapoka表示，Facebook發行加密貨幣Libra的計劃目前正引發重大討論和質疑。Sapoka稱：“Libra還處于早期階段，但是由于對可能出現的問題沒有答案，所以目前還很難說最終的決定是什么，是否允許，以及如果允許將如何進行控制。” Sapoka同意法國對Libra的擔憂，因為Facebook可能在完成該項目后一夜之間成為全球金融玩家。他表示：“關于穩定幣的各種討論非常激烈，但仍有許多問題沒有得到解答，包括它將如何影響全球貨幣體系、金融穩定以及該領域的競爭問題。我們在數據保護方面也有越來越多的問號。只有在這些問題得到回答之后，我們才能找到一個全球性的解決方案。關于穩定幣討論將在經合組織和20國集團的框架內真正升溫。我認為，考慮到穩定幣的潛在影響，將會在其監管問題上找到一個全球性的解決方案。”[2019/9/14]

4.之后會外部調用假代幣合約的approve函數，該函數為攻擊者惡意構造，是為了給Zapper合約轉賬frax代幣，此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約，并且調用所傳入參數也是外部可構造的，所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟，總共攻擊了三次，轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題，攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags：LIBRALIBZAPAPPlibra幣最新消息LIBRE價格Zapper聚幣交易所app官網

幣安app官網下載