BTC/HKD-0.69%
ETH/HKD+0.68%
LTC/HKD+0.15%
DOT/HKD-0.86%
ADA/HKD-0.49%
SOL/HKD-0.63%
XRP/HKD+0.02%
DOGE/US-0.1%一、前言
北京時間3月20日晚,知道創宇區塊鏈安全實驗室?監測到以太坊上分布式跨鏈協議Li.Finance受到了攻擊,攻擊者執行了37次call注入獲取了多個錢包中約60萬美元的資產。此次資產損失并沒有非常大,但項目方對于攻擊的處理非常積極并值得學習與肯定(見后文),目前項目方已補償了協議損失并修復后重新部署了協議。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。
二、分析
1.攻擊者相關信息
攻擊tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96
英國央行行長:加密貨幣資產是危險的,市場對加密貨幣具備很大的熱情:英國央行行長貝利:加密貨幣資產是危險的,市場對加密貨幣的具備很大的熱情。(金十)[2021/5/25 22:40:10]
被攻擊合約:
0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合約
0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--邏輯合約
攻擊者地址:
?0xC6f2bDE06967E04caAf4bF4E43717c3342680d76--部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E--收款地址
首個完整量子芯片架構亮相 一旦量子計算成熟區塊鏈網絡或將處于危險當中:根據最近的一份報告,新南威爾士大學的研究人員揭示了一個解決量子計算科學家面臨的穩定性問題的架構結構。卡耐基梅隆大學的研究員表示,量子計算理論上可以用于破解區塊鏈技術的加密機制,把整個網絡暴露在危險當中。然而,目前距離量子計算被開發出來還遙不可及,開發人員有足夠時間來給區塊鏈技術打補丁,應對未來量子計算帶來的風險。[2017/12/17]
2.攻擊流程
攻擊調用流程攻擊者構造payload并調用被攻擊合約0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函數
經濟學家認為比特幣或將面臨崩潰的危險:經濟學家羅格夫(Kenneth Rogoff)預測,比特幣價格將要面臨崩潰。他認為數字貨幣目前的高估值取決于其“幾乎匿名”,這種特點讓比特幣市場可以進行各種犯罪或非法活動,包括販、無牌槍銷售等,而一旦政府加強監管力度,進行實名認證或創造自己的數字貨幣,比特幣的泡沫將會結束。[2017/11/30]
具體使用的Payload如下--圖中選中部分即為利用授權轉賬部分的payload:
調用一次正常50刀的跨鏈橋功能
在payload中包括多個call方法(調實際用transferFrom)。讓0x5a9fd7c3調用37個call,借此利用多個錢包對于0x5a9fd7c3合約的授權(approve)將錢包資產轉賬到攻擊者地址:
后續執行正常的跨鏈橋邏輯_startBridge(_cBridgeData);。這也是為什么第一個swap是正常的,這樣才能讓后續邏輯正常執行下去
3.漏洞細節
導致本次問題的根本原因被攻擊合約0x5a9fd7c3的邏輯合約存在一個批量讓call調用傳入數據的函數swapAndStartBridgeTokensViaCBridge
該合約將會取出payload中的多個_swapData數據結構并調用,LibSwap.swap(...);實現如下:
借此,攻擊者利用該合約的call將各個錢包對0x5a9fd7c3合約的代碼授權轉走了多個錢包中的各種代幣。
4.項目方進展
在事件發生后,項目方第一時間對合約可能的方法進行了停用,并為其審計和安全性問題進行致歉。
而后,項目方還聯系了黑客,希望能與其取得聯系并和平解決:
同時,最快的時間將漏洞合約修復后上線:
并將錢包對于之前被攻擊合約的授權取消,對新的合約進行了重新授權:
最后,將用戶資產進行補回:
同時我們關注到,其在polygon鏈上的合約也已實現了新的部署:
三、總結
此次攻擊的根本原因是項目方對于swapAndStartBridgeTokensViaCBridge合約的實現過度自由化所導致的call調用注入,但項目方積極的面對問題的態度和后續補救的及時性值得學習和肯定。不貴于無過,而貴與改過。但我們仍希望能將錯誤扼殺在發生之前,應從他人的錯誤中學習并避免自己未來的錯誤,正如Li.Finance所說的那樣:
我們的使命是最大化用戶體驗,現在我們痛苦地了解到,為了遵循這種精神,我們的安全措施必須大幅改進。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:DGEBRIRIDGEBRIDGEpledge幣公募價格Kambria Yield Tuning EngineBridge Mutual
沒有人會否認,在DEX的沖擊下,交易賽道正在經歷一場全新的洗牌。在DEX進入大眾視野之前,交易市場的競爭主要集中在中心化交易所之間.
1900/1/1 0:00:00Gate.iohaslaunchedanewversionofliquidityminingpools(addingabout50%tradingfeeontheplatform)onAugus.
1900/1/1 0:00:00Gate.ioiscurrentlyholdingaZODItradingcompetition.Wehaveapoolof43,478ZODI($11.
1900/1/1 0:00:00非小號是什么? ?????非小號??(www.feixiaohao.cc)是最專業的數字貨幣行業大數據平臺之一,專注于為數字貨幣用戶提供數據分析,數據挖掘服務.
1900/1/1 0:00:00尊敬的用戶:由於ADA錢包維護,Hotcoin現已暫停ADA的充值、提現業務,交易不受影響。待錢包維護完成後恢復充值、提現業務,具體恢復時間將以公告另行通知.
1900/1/1 0:00:00大家好,我是福爾摩斯,價值投資雖然不能保證我們穩步盈利,但價值投資給我們提供了走向真正成功的唯一機會。眼睛僅盯在自己小口袋的是小商人,眼光放在世界大市場的是大商人.
1900/1/1 0:00:00
買以太坊
