買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > AVAX > Info

DEX:假幣的換臉戲法:技術拆解 THORChain 跨鏈系統“假充值”漏洞_MDEX去中心化交易所

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,2021年6月29日,去中心化跨鏈交易協議THORChain發推稱發現一個針對THORChain的惡意攻擊,THORChain節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析,經分析發現,這是一起針對跨鏈系統的“假充值”攻擊,結果分享如下:

什么是“假充值”?

當我們在談論“假充值”攻擊時,我們通常談的是攻擊者利用公鏈的某些特性,繞過交易所的充值入賬程序,進行虛假充值,并真實入賬。

隨著RenVM、THORChain等跨鏈服務的興起,跨鏈節點充當起了交易所的角色,通過掃描另一條公鏈的資產轉移情況,在本地公鏈上生成資產映射。THORChain正是通過這種機制,將以太坊上的代幣轉移到其它公鏈。

公鏈項目Taraxa:官方并未釋放代幣,警惕假幣風險:據官方消息,公鏈項目Taraxa表示,目前并沒有釋放任何TARA代幣,在市場上流通的“TARA”代幣均為虛假代幣。Taraxa官方目前尚未公布上線計劃合作交易所以及其TARA代幣合約地址。Taraxa基金會在此提醒廣大投資者,謹防被騙。

此前報道,Taraxa已于今日上午在Tokensoft平臺成功完成其本次公開發行,同時在線申購人數約13000人。此外Taraxa計劃于近期啟動上所計劃。[2021/3/12 18:40:13]

漏洞分析

我們從業務邏輯入口去追蹤分析此漏洞的成因。

首先看到在處理跨鏈充值事件時,調用了getAssetFromTokenAddress?方法去獲取代幣信息,并傳入了資產合約地址作為參數:

MDEX官方:UniSwap上假幣MDX與MDEX沒有任何關系:近日,有用戶舉報發現UniSwap上出現冒充MDEX的假幣。據MDEX官方核實,該網站使用“MDEX.COM”標志,并使用MDX為代幣名稱,冒充MDEX發幣嚴重侵犯了MDEX品牌聲譽與用戶利益。MDEX官方團隊發布聲明稱:“UniSwap鏈上假幣MDX與MDEX沒有任何關系,請用戶謹慎辨別。” MDEX團隊同時對用戶發出提醒稱,有關MDEX官方的所有進展和信息,均會通過官網公告及官方渠道進行發布。請廣大投資者保持警惕,謹防上當受騙。[2021/1/20 16:33:19]

-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

JustSwap白名單上SSK疑似為假幣:9月23日,JustSwap白名單上SSK疑似為假幣。根據SunStake(SSK)官方消息,SSK代幣地址:TW1sqqq7UphAqGNHDXSLXsEainYHJuQeyC。而JustSwap上的SSK代幣地址為:TYbtUJpoAos99Kt3ih81s6P8TZ1ATTv6Cj。(律動BlockBeats)[2020/9/23]

?

在getAssetFromTokenAddress方法里,我們看到它調用了getTokenMeta?去獲取代幣元數據,此時也傳入了資產合約地址作為參數,但在此處有一個定義引起我們的警覺,在初始化代幣時,默認賦予了代幣符號為ETH,這就是漏洞的關鍵點之一:asset:=common.ETHAsset,如果傳入合約地址對應的代幣符號為ETH,那么此處關于symbol的驗證將被繞過。

波卡生態項目Acala:此前ACA假幣騙局是網站Bug目前已被修正:9月23日,波卡生態項目Acala官方再次發推,對此前Uniswap上的ACA假幣騙局作出聲明。官方表示,現已被告知ACA假幣是網站網站Bug,目前已被修正。官方再次提醒稱,用戶需保持警惕。此前9月7日及15日,Acala官方兩次發推提醒稱,官方還沒有發行ACA代幣,用戶需警惕Uniswap上的ACA假幣。[2020/9/23]

-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

繼續驗證我們的猜測,我們看到當代幣地址在系統中不存在時,會從以太坊主鏈上去獲取合約信息,并以獲取到的symbol構建出新的代幣,此時所有的漏洞成因都已經顯現:

-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

-?bifrost/pkg/chainclients/ethereum/tokens_db.go

-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

總結一下,首先是由于錯誤的定義,如果跨鏈充值的ERC20代幣符號為ETH,那么將會出現邏輯錯誤,導致充值的代幣被識別為真正的以太幣ETH。

還原攻擊真相

我們來看一筆攻擊交易的執行過程,可以提取出充值的代幣合約地址:

我們在Etherscan上查看這個代幣合約地址:

發現這個地址對應的合約的代幣符號正是ETH,攻擊者正是通過部署了假幣合約,完成了這次跨鏈假充值。

漏洞修復

漏洞補丁:

項目方在發現攻擊后快速對代碼進行了修復,刪除了默認的代幣類型,使用common.EmptyAsset進行空代幣定義,并在后續邏輯中使用asset.IsEmpty()進行判斷,過濾了沒有進行賦值的假充值代幣。

總結

幸運的是項目方及時發現了本次攻擊,未造成巨額財產損失,但作為跨鏈系統,未來可能聚集巨額的多鏈資金,安全性不容忽視,因此慢霧安全團隊建議在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,做好狀態監控和預警,必要時可聯系專業安全公司進行安全審計。

Tags:ETHMdexDEXAINstaking ETHMDEX去中心化交易所Hpdexykchain

AVAX
以太坊:Gavin Wood:區塊鏈和去中心化網絡先驅_wood幣圈

GavinWood在柏林Web3峰會上作為一個天生好奇的小孩,當Gavin的母親自作主張給他弄來一臺鄰居的舊電腦時,9歲的Gavin非常興奮.

1900/1/1 0:00:00
CHIV:中幣行情看點:薩爾瓦多總統:Chivo錢包將與其他錢包兼容且操作無任何費用_比特幣

熱點摘要: 1.薩爾瓦多總統:Chivo錢包將與其他錢包兼容且操作無任何費用;2.Coinbase首席執行官:計劃上線所有合法可行的加密貨幣資產;3.

1900/1/1 0:00:00
區塊鏈:當加密熱潮降溫 中國互聯網 VC 開始入局_加密貨幣

在合規退出通道打開,行業前景愈加明朗的情況下,更多國內互聯網VC開始轉變,「重新入場布局」。原文標題:《當潮水退去,傳統VC開始入局Crypto》連金沙江創投都在了解Crypto了.

1900/1/1 0:00:00
ITT:萬向區塊鏈肖風:數字城市最終可能搭建在區塊鏈上_TWI

有沒有可能利用區塊鏈等數字化技術,像互聯網公司構建網絡平臺一樣來構建城市的平臺?原文標題:《萬向區塊鏈肖風:從網絡平臺到城市平臺——城市數字化的另類思考》6月22日.

1900/1/1 0:00:00
POR:2021 PORioT技術分析全球AMA會議順利召開_RIO

6月25日,由PORiot共識聯盟,PORiot共識聯盟主辦,森和天下承辦,由海南數米科技作為本次會議的指導單位.

1900/1/1 0:00:00
比特幣:比特幣、DeFi、NFT未來向何處去?_小伙找回了5000比特幣

金融科技簡述IV:虛擬幣及關聯技術創新的未來根據傳統經濟學的定義,貨幣是指在日常的商品交換中,可以廣泛地充當一般等價物的特殊商品。貨幣的基本職能包括價值尺度、流通手段、支付手段等.

1900/1/1 0:00:00
ads