原文:《正處于“刮骨療”自救的SushiSwap,今日又是如何被黑客攻擊的?》
在嚴峻的財務壓力下,黑客又來一擊,那在黑客的打擊下,SushiSwap能否走出自救的道路?
2023年4月9日,據BeosinEagleEye態勢感知平臺消息,SushiswapRouteProcessor2合約遭受攻擊,部分對合約授權過的用戶資金被黑客轉移,涉及金額約1800ETH,約334萬美元。
據了解,SushiSwap流動性挖礦項目,克隆自Uniswap,最大的不同是其發行了SUSHI代幣,團隊希望用SUSHI通證經濟模型,優化Uniswap。但Uniswap創始人HaydenAdams表示,Sushi只是任何有能力的開發人員通過一天的努力創造出來的東西,試圖利用炒作和Uniswap創造的價值來獲利。
幣安發言人:幣安對Twitter的5億美元投資保持不變:金色財經報道,據 Big Crypto Alert 周日在 Twitter 上表示,幣安首席執行官 CZ 在 Twitter 上取消了對馬斯克的關注。目前還不清楚 CZ 為什么選擇取消關注馬斯克。幣安發言人也拒絕就此舉發表評論,但幣安發言人表示,幣安去年在Twitter上的5億美元投資保持不變。[2023/5/15 15:04:20]
其實在本次攻擊之前,這個項目還有另外的“坎坷”,去年12月6日,上任僅兩個月的Sushi新任“主廚”JaredGrey于治理論壇發起了一項新提案。在該提案中,Jared首次向外界披露了Sushi當前嚴峻的財務狀況,并提出了一個暫時性的自救方案。
正是在這樣的壓力下,黑客又來一擊,那在黑客的打擊下,SushiSwap能否走出自救的道路?
數據:名義價值近40億美元的比特幣期權和31.74億美元的以太坊期權將于今日到期:金色財經報道,Deribit數據顯示,今日有名義價值近40億美元的比特幣期權到期,Put/Call比率為0.76,最大痛點為2.4萬美元。另外,名義價值近31.74億美元的以太坊期權也將于今日到期,Put/Call比率為0.33,最大痛點為1600美元。[2023/3/31 13:36:31]
事件相關信息
我們以其中一筆攻擊交易進行事件分析。
攻擊交易
0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8
數據:OpenSea Seaport以太坊鏈上獨立用戶總量突破100萬:11月22日消息,據Dune Analytics數據顯示,基于開源NFT協議Seaport的OpenSea獨立用戶總量已突破100萬,截止目前為1,001,211個。當前OpenSea Seaport以太坊鏈上交易總量為6,744,312筆,交易總金額達到21.11億美元。此外,OpenSea Seaport Polygon鏈上獨立用戶量達到153,104個,交易總量691,204筆,交易總金額為27,009,412美元。[2022/11/22 7:55:29]
攻擊者地址
0x719cdb61e217de6754ee8fc958f2866d61d565cf
攻擊合約
0x000000C0524F353223D94fb76efab586a2Ff8664
Binance NFT市場將推出“艾蘭·沃克起源”NFT系列:7月15日消息,Binance NFT 市場將推出“艾蘭·沃克起源”NFT 系列,該系列的發布將遵循 BNB 先決條件功能作為申購機制的一部分。將于7月17日10:00 開啟申購,目前已進入準備階段。
“艾蘭·沃克起源”NFT 系列以??艾蘭·沃克的起源專輯中的三個高制作價值音樂視頻為特色。每個“艾蘭·沃克起源”NFT 都是艾蘭·沃克即將推出的三個高制作價值音樂視頻之一的八秒音樂視頻片段,并包括各自曲目中的相應音頻。每個“艾蘭·沃克起源”NFT 的價格為 10 BUSD。
該系列具有特殊的游戲化功能,NFT收藏家和艾蘭·沃克粉絲可以參與線上NFT尋寶游戲,并從“艾蘭·沃克起源”NFT收藏中收集不同的NFT音樂視頻片段,以綜合艾蘭·沃克即將發行的專輯中的完整音樂視頻。此外NFT持有人可以通過Corite的支付,從YouTube上的音樂視頻流中獲得一定的收入。[2022/7/15 2:15:35]
被攻擊合約
0x044b75f554b886a065b9567891e45c79542d7357
被攻擊用戶
0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1
攻擊流程
1.攻擊者地址(0x1876…CDd1)約31天前部署了攻擊合約。
2.攻擊者發起攻擊交易,首先攻擊者調用了processRoute函數,進行兌換,該函數可以由調用者指定使用哪種路由,這里攻擊者選擇的是processMyERC20。
3.之后正常執行到swap函數邏輯中,執行的功能是swapUniV3。
4.在這里可以看到,pool的值是由stream解析而來,而stream參數是用戶所能控制的,這是漏洞的關鍵原因,這里lastCalledPool的值當然也是被一并操控的,接著就進入到攻擊者指定的惡意pool地址的swap函數中去進行相關處理了。
5.Swap完成之后,由于此時lastCalledPool的值已經被攻擊者設置成為了惡意pool的地址,所以惡意合約調用uniswapV3SwapCallback函數時校驗能夠通過,并且該函數驗證之后就重置了lastCalledPool的值為0x1,導致swapUniV3函數中最后的判斷也是可有可無的,最后可以成功轉走指定的from地址的資金,這里為100個WETH。
漏洞分析
本次事件攻擊者主要利用了合約訪問控制不足的問題,未對重要參數和調用者進行有效的限制,導致攻擊者可傳入惡意的地址參數繞過限制,產生意外的危害。
總結
針對本次事件,Beosin安全團隊建議:
1.在合約開發時,調用外部合約時應視業務情況限制用戶控制的參數,避免由用戶傳入惡意地址參數造成風險。
2.用戶在與合約交互時應注意最小化授權,即僅授權單筆交易中實際需要的數量,避免合約出現安全問題導致賬戶內資金損失。
2023年2月9日,美國伊利諾伊州參議員RobertPeters悄悄地提交了一項名為《數字產權保護和法律執行》的法案,該法案要求:對于在州內發生的區塊鏈交易,在收到法院命令后.
1900/1/1 0:00:00文章作者:JoelJohn文章編譯:Blockunicorn一年前,我們曾談及Web3時代的聚合理論。在Web2.0時代,聚合平臺因為打破了分銷成本而受益,將許多服務提供者匯集到一起.
1900/1/1 0:00:007:00-12:00關鍵詞:Mina、ArthurHayes、FoundryUSA、Bedrock升級1.Mina發布新路線圖:涵蓋ZK可編程性、結算層性能等五個階段;2.
1900/1/1 0:00:00ARB空投馬上就可以領取了。如何更快地Claim?如何進行LP?如何更快地買入和賣出?本文是一份快速指南.
1900/1/1 0:00:00去中心化金融領域受到了熊市的嚴重影響。DeFi項目總價值已經從歷史高點1500億美元滑落到目前的500多億美元.
1900/1/1 0:00:00原文:《加速發展的Sui,能否成為下一個Layer1破局者》 作者:DanielLi Sui正在從幕后走向前臺,向人們展示多年來積累的技術實力.
1900/1/1 0:00:00