GYM:創宇區塊鏈｜小缺陷大損失 GYM Network 何至于此_NFT

前言

北京時間2022年6月8日，知道創宇區塊鏈安全實驗室?自動數據監測工具監測到BSC鏈上NFT項目GYMNetwork因"PublicdepositFromOtherContract"權限控制問題被攻擊，損失包括7475枚BNB，共計約216W美元，目前已將兌通過DEX換70W美元的ETH通過Celer跨鏈到以太坊，2000枚BNB利用BSC-Tornado進行混幣，余下3000枚BNB在攻擊者地址。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

被攻擊合約：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

CME比特幣期貨7月合約收報30235美元:金色財經報道，成交量最高的CME比特幣期貨2023年7月合約今日收跌1690美元，收報30235美元。2023年8月、9月及2023年10月合約分別收報30565美元、30850美元和31065美元。[2023/7/17 10:58:41]

攻擊者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

美國國稅局官員：加密稅計劃可能會在12個月內出臺:金色財經報道，美國國稅局（IRS）加密貨幣稅收負責人 Julie Foerster 表示，IRS希望“在 12 個月內”發布加密稅收指南。 按照目前的情況，美國國稅局認為加密貨幣是可兌換的虛擬資產，可以用作商品和服務的支付，在用戶之間進行數字交易并兌換成其他貨幣。雖然不被視為法定貨幣，但出于聯邦稅收的目的，它們被視為財產，因此用戶需要在納稅申報表上報告其數字資產活動。

Foerster 表示，數字資產是不斷發展的，監管機構需要加強與加密社區之間的溝通，美國國稅局正計劃改變對加密貨幣的看法，并希望與該行業開展更多合作，Foerster 強調她的觀點僅代表個人，不代表國稅局。[2023/4/29 14:34:15]

GymSinglePool代理合約:0xa8987285e100a8b557f06a7889f79e0064b359f2

Optimism：還會有更多的Optimism空投:金色財經報道，Optimism在社交媒體上稱，提醒一下，還會有更多的 Optimism 空投。多次空投使我們能夠對這種不斷發展的機制進行試驗和迭代，以進一步促進生態系統中的正和行為。參與永遠不晚！Optimism已承諾將初始代幣總供應量的19%分配給空投。在Drops 1 和 2 之后，該空投分配的13.73%（~5.9億枚OP）仍然存在。[2023/2/11 12:00:16]

漏洞分析

項目方在GymSinglePool合約中實現過程中對于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函數缺少了權限控制，導致攻擊者能夠通過該函數調用內部_autoDeposit函數實現零消耗質押：

Web3工作室1BLOCK與動漫《刃牙》發行聯名虛擬鞋:10月3日消息，Web3工作室1BLOCK宣布與動漫《刃牙》達成合作，將發行聯名虛擬鞋。這款虛擬鞋將以動漫主人翁范馬刃牙（BAKI HANMA）為主題，所有球鞋都將作為NFT鑄造，總計25款，預計將于10月上旬發布。[2022/10/3 18:38:26]

對于應該開放給用戶的質押內部函數是_deposit函數，該函數實現了對于token的審批傳入，如下圖所示：

Meta已開始在Facebook上測試以太坊和Polygon NFT:金色財經消息，Meta（前Facebook）發言人表示，已開始在其旗艦社交網絡Facebook上為部分美國創作者測試以太坊和Polygon NFT，很快會增加對Solana和Flow NFT的支持。Meta產品經理Navdeep Singh表示，用戶將在他們的Facebook個人資料上擁有一個“數字收藏品”標簽，他們可以在其中展示擁有的NFT，代表他們的所有權。用戶將能夠將加密貨幣錢包連接到Facebook個人資料，還可以將NFT生成Facebook帖子，用戶可以像任何其他帖子一樣對其點贊、評論和分享。Meta尚未透露NFT功能是否或何時向所有用戶開放。（decrypt）[2022/7/1 1:43:17]

對應的_autoDeposit函數則實現了"特權"質押，即不需要轉入Token進行質押。同時該函數直接暴露給了用戶，函數對比如下：

攻擊流程

攻擊者為了防止鏈上MEV和搶跑機器人，將合約進行了分步部署執行，同時部署/調用了多次以完成對GymNetwork合約(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽離，以其中一筆部署調用為例：

1.部署合約后調用depositFromOtherContract實"特權"質押，對應0xfd4a2266方法：

內部調用細節如下:

2.調用0x30649e15實現對上一步特權質押的Token回撤：

3.利用0x1d111d13函數售出獲取到的的GYM-Token：

重復多次"特權"質押--回撤--售出步驟，攻擊者最終獲取到7475枚BNB:

為了抑制搶跑，攻擊者將添加質押和回撤進行了步驟分離，兩個步驟均為核心操作，同時刻意提高添加部分步驟的GasPrice為15/20gwei,可見攻擊者是有意為之。

溯源處置

本次攻擊原因是項目方實現的特權函數權限控制不當，在攻擊發現的1小時后項目方將GymSinglePool代理合約的邏輯合約進行了多次修改，為其添加了權限控制：

并在20分鐘后對邏輯合約添加了緊急賬戶處置函數：

而對于項目方Deployer地址分析，其部署的多個GymSinglePool合約根據追蹤僅在兩天前部署的GymSinglePool合約中存在漏洞，4天前的合約則不存在此函數：

同時代理合約對應的邏輯合約被升級為漏洞合約的事件發生在在2days13hrsago：

攻擊者的資金準備(FromTornado)則在約6小時以前，攻擊者的身份也值得令人深思。

總結

雖然只是一處小的控制缺陷，卻導致了數百萬美元的損失。項目方的處置雖較為及時，漏洞導致的損失卻難以挽回。該類型漏洞在審計過程中很容易被發現并將歸納到邏輯缺陷/不安全的外部調用，各項目方在開發和審計流程上切莫大意。

來源：金色財經

Tags：GYMNFTDEPDEPOGymMovNFTARTDEPI價

火必APP