Chain:假幣的換臉戲法 —— 技術拆解 THORChain 跨鏈系統“假充值”漏洞_HAI

By：慢霧安全團隊

據慢霧區消息，2021年6月29日，去中心化跨鏈交易協議THORChain發推稱發現一個針對THORChain的惡意攻擊，THORChain節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析，經分析發現，這是一起針對跨鏈系統的“假充值”攻擊，結果分享如下：

什么是“假充值”？

當我們在談論“假充值”攻擊時，我們通常談的是攻擊者利用公鏈的某些特性，繞過交易所的充值入賬程序，進行虛假充值，并真實入賬。

慢霧在早期已經披露過多起“假充值”攻擊事件：

?

USDT假充值：USDT虛假轉賬安全?險分析|2345新科技研究院區塊鏈實驗室

EOS假充值：EOS假充值(hard_fail狀態攻擊)紅色預警細節披露與修復方案以太坊代幣假充值：以太坊代幣“假充值”漏洞細節披露及修復方案

DYDX基金會聲明：請用戶警惕DYDX假幣:金色財經報道，近日，DYDX基金會接到反饋，市場已有部分非法分子打著DYDX旗號在發行假幣DYDX。在此，DYDX基金會鄭重聲明，DYDX到目前為止，還未進行釋放。DYDX首期領取時間為2021年9月8晚23:00（UTC+8）。請廣大用戶注意防范風險，保護自身財產安全，并對打著DYDX旗號發行代幣的非法行為予以抵制。

DYDX地址：0x92d6c1e31e14520e676a687f0a93788b716beff5。[2021/9/8 23:10:05]

比特幣RBF假充值風險：比特幣RBF假充值風險分析

隨著RenVM、THORChain等跨鏈服務的興起，跨鏈節點充當起了交易所的角色，通過掃描另一條公鏈的資產轉移情況，在本地公鏈上生成資產映射。THORChain正是通過這種機制，將以太坊上的代幣轉移到其它公鏈。

警惕 Omni 假幣導致USDT假充值風險:近日，根據慢霧區情報，有黑客采取新型 USDT 假充值手法，黑客采取在 Omni 上發行其他類型的代幣偽造成 USDT 對交易所或錢包進行 USDT 假充值，當交易所或錢包在檢測 USDT 充值時如果沒有校驗交易中的 propertyid，就會導致假充值情況的發生。經慢霧安全團隊驗證，已有交易所因此問題導致損失。由于 USDT 在 Omni 協議上的廣泛使用，大多數人認為 Omni 協議上只有 USDT，導致忽略 Omni 協議上的其他類型的不知名幣種，容易造成假充值問題。

慢霧安全團隊建議交易所或錢包自查 USDT 入賬邏輯，必要時聯系慢霧安全團隊進行驗證。[2020/3/7]

漏洞分析

我們從業務邏輯入口去追蹤分析此漏洞的成因。

首先看到在處理跨鏈充值事件時，調用了getAssetFromTokenAddress方法去獲取代幣信息，并傳入了資產合約地址作為參數：

動態 | 歐洲刑警組織緝拿假幣團隊 涉及價值144萬美元比特幣獲利:據Cointelegraph 9月10日消息，歐洲刑警組織查獲一批假幣。犯罪團伙自2017年以來售出130萬歐元假鈔，在黑網上出售假鈔以換取比特幣（BTC），獲得比特幣總價值144萬美元。據稱，這些筆記是他們遇到過的最優質的偽造品，帶有水印和全息圖等特征。[2019/9/10]

-bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

?

在getAssetFromTokenAddress方法里，我們看到它調用了getTokenMeta去獲取代幣元數據，此時也傳入了資產合約地址作為參數，但在此處有一個定義引起我們的警覺，在初始化代幣時，默認賦予了代幣符號為ETH，這就是漏洞的關鍵點之一：asset:=common.ETHAsset，如果傳入合約地址對應的代幣符號為ETH，那么此處關于symbol的驗證將被繞過。

動態 | 賬號創建10億個EOS假幣，項目方應提高警惕:Beosin成都鏈安態勢感知安全預警：今日下午14:20:11?根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，賬戶larry5555555 發布了10億 EOS假幣并分發到了數個小號（pandoras1111，pandoras.e等），鷹眼將持續追蹤這些假幣的流向，請各項目方持續關注事件走勢，做好及時應急措施預警準備和自查，檢查自己的合約是否正確判斷接收代幣的發行方，必要時可以找區塊鏈安全公司進行代碼審計，并可加入成都鏈安鷹眼態勢感知系統，我們將第一時間為大家免費提供預警報警服務，避免用戶資產受損。[2019/6/21]

-bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

繼續驗證我們的猜測，我們看到當代幣地址在系統中不存在時，會從以太坊主鏈上去獲取合約信息，并以獲取到的symbol構建出新的代幣，此時所有的漏洞成因都已經顯現：

動態 | 詐騙者偽裝成項目方讓Newdex上假幣 交易所承認審核不嚴:據區塊律動BlockBeats消息，最近一名俄羅斯詐騙者設法讓知名EOS去中心化交易所Newdex上架了一個虛假代幣PKD，并成功欺詐了少部分用戶買了該虛假代幣。該虛假代幣展示內容顯示由Poker Chained游戲開發團隊發行的，然后進行了典型拉高出貨詐騙。 但是PokerChained團隊并沒有發過自己的代幣，目前也沒有發幣計劃。PokerChained項目負責人Kirill Lebedev聲明稱，“ PokerChained團隊很快了解到了這個虛假代幣，聲稱與他們無關，提醒用戶請不要購買此代幣，這是100％的騙局。” PokerChained團隊聯系Newdex交易所，成功阻止了PKD交易，并將這虛假代幣下架。然而已經有幾個用戶買了該代幣，成為詐騙者的犧牲品。Newdex承認他們在沒有進行深入研究的情況下就把虛假代幣上架了，并同意賠償用戶的損失。[2019/4/18]

-bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

-bifrost/pkg/chainclients/ethereum/tokens_db.go

-bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

總結一下，首先是由于錯誤的定義，如果跨鏈充值的ERC20代幣符號為ETH，那么將會出現邏輯錯誤，導致充值的代幣被識別為真正的以太幣ETH。

還原攻擊真相

我們來看一筆攻擊交易的執行過程，可以提取出充值的代幣合約地址：

我們在Etherscan上查看這個代幣合約地址：

發現這個地址對應的合約的代幣符號正是ETH，攻擊者正是通過部署了假幣合約，完成了這次跨鏈假充值。

漏洞修復

漏洞補丁：

項目方在發現攻擊后快速對代碼進行了修復，刪除了默認的代幣類型，使用common.EmptyAsset進行空代幣定義，并在后續邏輯中使用asset.IsEmpty()進行判斷，過濾了沒有進行賦值的假充值代幣。

總結

幸運的是項目方及時發現了本次攻擊，未造成巨額財產損失，但作為跨鏈系統，未來可能聚集巨額的多鏈資金，安全性不容忽視，因此慢霧安全團隊建議在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性，充分進行“假充值”測試，做好狀態監控和預警，必要時可聯系專業安全公司進行安全審計。

****

往期回顧

強扭的瓜不甜——SafeDollar被黑分析

“不可思議”的被黑之旅——ImpossibleFinance被黑分析

走過最長的路，竟是自己的套路——Alchemix事件分析

HPOOL入駐慢霧區，發布「安全漏洞與威脅情報賞金計劃」

重磅！慢霧的安全審計結果已集成到CoinMarketCap

慢霧導航

慢霧科技官網

https://www.slowmist.com/

慢霧區官網

https://slowmist.io/

慢霧GitHub

https://github.com/slowmist

Telegram

https://t.me/slowmistteam

Twitter

https://twitter.com/@slowmist_team

Medium

https://medium.com/@slowmist

幣乎

https://bihu.com/people/586104

知識星球

https://t.zsxq.com/Q3zNvvF

火星號

http://t.cn/AiRkv4Gz

鏈聞號

https://www.chainnews.com/u/958260692213.htm

免責聲明：作為區塊鏈信息平臺，本站所發布文章僅代表作者個人觀點，與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考，并非作為或被視為實際投資建議。

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布68篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/10123951.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

簡析三個典型DAO模型，揭示DAO社區的運作機制

Tags：ChainHAICHAAINIceChainwbabachain tokenCHAR幣PlugChain

MANA