買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > DOGE > Info

FORGE:惡意初始化:Punk Protocol被黑事件分析_SCORGI

Author:

Time:1900/1/1 0:00:00

8月10日,去中心化年金協議?PunkProtocol遭到攻擊,損失890萬美元,后來團隊又找回了495萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,攻擊原因在于投資策略中找到了一個關鍵漏洞:CompoundModel代碼中缺少初始化函數的修飾符的問題,可以被重復初始化。希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

一、事件分析

黑客1的兩筆攻擊交易:

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

Python軟件包中的“Kekw”惡意軟件可以竊取數據和加密貨幣:5月5日消息,根據Cyble Research and Intelligence Labs ( CRIL ) 的數據,Python軟件包中的“Kekw”惡意軟件可以從受感染的系統中竊取敏感信息,并執行可以劫持加密貨幣交易的活動。目前,Python安全團隊已經刪除了該惡意包,無法確定有多少人下載了它們。[2023/5/6 14:45:53]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

黑客2的兩筆攻擊交易

動態 | 谷歌刪除針對加密貨幣用戶的虛假惡意軟件攔截器:據bitcoinexchangeguide報道,計算機用戶正在其系統上安裝反惡意挖礦軟件。然而犯罪分子利用了這一點,推出了虛假的惡意軟件攔截器。谷歌目前已經刪除了針對Blockchain.com和MyEtherWallet的加密貨幣用戶的虛假惡意軟件攔截器。[2019/3/16]

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

動態 | 安全研究人員在Linux上發現加密貨幣挖礦惡意軟件:據zdnet消息,Trend Micro安全研究人員發現了一種新的惡意軟件,它在Linux計算機上開采加密貨幣,但它與其他發現的加密軟件不同,因為它下載了一個rootkit來改變操作系統從而隱藏挖礦導致的高CPU使用。[2018/11/10]

黑客2的攻擊合約地址:

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址:

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

黑客2退回的兩筆交易地址:

谷歌應用商店下架三款惡意比特幣錢包應用:12月20日,移動安全公司Lookout發現,隨著比特幣價格日益走高,有三款打著比特幣錢包名義的惡意應用堂而皇之地出現在了谷歌應用商店中。Lookout在其官方博客發布了這個消息,而谷歌方面也立刻采取措施,刪除了這些惡意應用。[2017/12/22]

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

下面以黑客1正式攻擊交易為例

黑客的攻擊執行了delegateCall,將攻擊者的合約地址寫入到compoundModel中initialize函的forge_參數。setForge(address)函數在初始化函數中執行。這是一個修改Forge地址的功能。

然后,它執行withdrawToForge函數并將所有資金發送到攻擊者的合約。

隨后在調用initialize函數發現forge_參數已經被替換成攻擊者合約的地址。

鏈接到forge_的所有CompoundModel都使用相同的代碼,因此所有資產都轉移到攻擊者的合約中。目前,導致黑客入侵的代碼已被項目方修補。添加了兩個Modifiers,這樣只有ContractCreator可以調用Initialize函數并控制它只被調用一次。

二、安全建議

本次攻擊的根本原因在于CompoundModel合約中缺少對初始化函數的安全控制,可以被重復初始化。初始化函數應只能調用一次,而且需要進行調用者權限鑒別;如果合約是使用初始化函數,而不是在構造函數中進行初始化,則應使用安全合約庫中的初始化器來進行初始化。避免合約被惡意操縱,造成合約關鍵參數和邏輯的錯誤。

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

Tags:FORGE加密貨幣FORORGVulcan Forged今天加密貨幣為何暴跌QforaSCORGI

DOGE
比特幣:Play-to-Earn游戲公會CGU完成500萬美元種子輪融資_ENT

據彭博社9月8日消息,澳大利亞風險投資家MarkCarnegie支持的Play-to-Earn游戲公會CryptoGamingUnited完成500萬美元種子輪融資,被超額認購.

1900/1/1 0:00:00
PEN:OpenSea涉事“老鼠倉”高管疑似已離職_ENS

巴比特訊,9月17日,此前OpenSea產品負責人NateChastain被扒出來涉嫌“老鼠倉”已將自己推特介紹改為Past:@opensea,疑似已從OpenSea離職.

1900/1/1 0:00:00
TCH:二元期權協議 Thales將發行代幣THALES,約1.5萬個SNX質押地址可領取空投_GOT幣

巴比特訊,9月6日,由Synthetix孵化的二元期權協議Thales協議宣布將發行ThalesDAO代幣THALES,總發行量為1億個,其中35%空投給SNX質押者,30%用于成長基金.

1900/1/1 0:00:00
Terra:數據:Cosmos生態項目Terra市值是Cosmos的近3倍_BTC

巴比特訊,9月11日,據coingecko數據顯示,Terra流通市值165億美元,排名Crypto市值TOP11。Cosmos流通市值是81億美元,排名Crypto市值TOP24.

1900/1/1 0:00:00
COIN:從8張圖表和10個觀點中觀察DAO組織的現狀與未來_DogDeFiCoin

編譯|?胡韜 「我相信DAO站在了協調問題空間的前沿,它們無需許可、任務驅動以及社區運營的架構,代表了未來工作的功能改進。」Gitcoin創始人KevinOwocki表示.

1900/1/1 0:00:00
NFT:NFT項目Fidenza創始人:NFT將在藝術界發揮巨大作用_SYN

據TheBlock9月9日消息,生成藝術家TylerHobbs的NFT項目Fidenza于6月在NFT平臺ArtBlocks上線.

1900/1/1 0:00:00
ads