買比特幣 買比特幣
Ctrl+D 買比特幣
ads

ETH:權限問題:Crosswise被黑事件分析_NER

Author:

Time:1900/1/1 0:00:00

此次攻擊導致協議損失87.9萬美元

近日,BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下:

達利歐:硅谷銀行事件影響資產負債錯配嚴重的機構,AI“肯定”會干擾現有社會秩序:金色財經報道,在2023清華五道口全球金融論壇上,國際貨幣基金組織原副總裁朱民與橋水基金創始人瑞·達利歐就全球金融形勢、貨幣政策等問題進行對話。達利歐表示硅谷銀行事件影響資產負債錯配嚴重的機構,這里指的不僅是購買美國政府債券的美國實體,還有因為貨幣政策而購買歐洲債券的歐洲實體等。達利歐還談到了技術革命,他認為,人工智能等肯定會干擾現有的社會秩序,同時還進一步指出風險不在于技術本身,而在于人們對人工智能技術的使用。[2023/5/23 15:20:09]

修改owner

過去12小時全網爆倉約1.26億美元:金色財經報道,據Coinglass數據顯示,過去12小時,全網爆倉約1.26億美元,比特幣爆倉約5772萬美元;以太坊爆倉約3004萬美元。[2023/5/1 14:36:52]

首先設置trustedFowarder,然后通過transferOwnership函數修改owner。該過程中,自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制,導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果,最終使得owner可以被其他用戶修改。

PeckShield:0xA69F8 開頭地址過去 12 小時盜取了 153 枚 NFT:金色財經報道,據PeckShield監測,0xA69F8開頭地址過去12小時盜取了153枚NFT,包括4枚Digidaigaku系列和6枚DigiDaigakuHeroes系列NFT,其中DigiDaigaku#756和DigiDaigaku#1407已在X2Y2上以9.3ETH和8.2ETH的價格被出售。[2023/2/13 12:04:03]

信標鏈ETH2合約地址質押數超1442萬枚ETH:10月24日消息,根據Tokenview鏈上數據監測,當前信標鏈ETH2 合約地址質押存款為14,421,020枚ETH。信標鏈活躍驗證者數達449,079。[2022/10/24 16:36:48]

由于上一步攻擊者修改了owner,即獲取了owner權限,因此,攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

通過MasterChef合約中的withdraw函數提取了692184.64CRSS.

將CRSS兌換為BNB.

通過Tornado實現混幣,將盜取的BNB轉移到其他賬戶地址

總結:本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞,導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限,最后通過Owner權限竊取了項目中的資金。另外,攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。

安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。

來源:金色財經

Tags:OWNNERSTEETHCROWN幣PEPEMINERSTELIAEthereum Yield

幣安app官網下載
OpenSea:速覽NFT交易平臺OpenSea:成立4年團隊僅70人估值超130億美元_apenft幣太垃圾了

1月4日,全球最大的NFT交易平臺OpenSea官方宣布獲得最新一輪融資,由風險投資公司Paradigm、CoatueManagement領投,該公司本輪獲得3億美元的融資.

1900/1/1 0:00:00
ETH:晚間必讀5篇 | 美聯儲會議召開在即 為什么市場以大跌相迎?_ALETH幣

1.V神:通往單槽最終確認的路徑本文為V神2022年1月25日在ethereum.org上發表的文章.

1900/1/1 0:00:00
ESI:美國政府最早將于 2 月發布關于加密的行政命令_Genesis Shards

“該指令將要求聯邦機構確定數字資產帶來的風險和機遇。” Gemini:Genesis向3AC提供的不負責任的貸款最終導致公司破產:金色財經報道,Gemini已對DCG及Barry Silbert.

1900/1/1 0:00:00
SIS:Oasis攜手Entropyfi 2.0 H2E游戲項目_Basis Gold

2022年1月20日,Oasis網絡很高興向社區宣布:我們與YieldFi去中心化游戲平臺Entropyfi建立合作關系,今年2月份.

1900/1/1 0:00:00
區塊鏈:區塊鏈如何改變游戲世界?_區塊鏈游戲

區塊鏈游戲正迅速成為加密貨幣領域最流行的趨勢。GameFi悄然顛覆著游戲世界,為玩家提供了一系列新機會,參與者數量正在迅速增加.

1900/1/1 0:00:00
SUN:Sundaewap作為Cardano的先驅 DEX, 或成為Dex游戲規則改變者_AES幣

“雖然仍處于早期階段,但Sundaewap作為Cardano推出的DeFi生態系統中的先驅DEX,首次亮相對于希望在更具可擴展性的智能合約生態系統中交換代幣的加密用戶來說是一個游戲規則改變者.

1900/1/1 0:00:00
ads