一、前言
北京時間3月20日晚,知道創宇區塊鏈安全實驗室監測到以太坊上分布式跨鏈協議Li.Finance受到了攻擊,攻擊者執行了37次call注入獲取了多個錢包中約60萬美元的資產。此次資產損失并沒有非常大,但項目方對于攻擊的處理非常積極并值得學習與肯定(見后文),目前項目方已補償了協議損失并修復后重新部署了協議。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
二、分析
1.攻擊者相關信息
攻擊tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96
Bernstein:MicroStrategy持有的BTC不一定會帶來集中化危險:金色財經報道,據Bernstein報告,比特幣價格上漲意味著MicroStrategy的資產負債表更強大,股票價格更高,更容易償還債務,而MicroStrategy不需要出售其持有的股票。MicroStrategy是否出售持有的BTC來償還債務,與加密貨幣的表現密切相關。Bernstein周三在一份研究報告中表示,該頭寸的規模不足以扭曲價格,但在下跌周期中確實會帶來情緒風險。[2023/4/19 14:13:45]
被攻擊合約:
0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合約
0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--邏輯合約
彭博社:Proshares比特幣策略ETF有突破CME期貨合約限制的危險:10月22日消息,美國首只比特幣期貨交易所交易基金-Proshares比特幣策略ETF(BITO)自推出后交易火爆,BITO目前擁有近1,900份10月合約,而芝加哥商品交易所(CME)規定一個產品可以擁有的近月(front-month)合約數量上限為2,000份。彭博數據還顯示,為避免觸及上限,ETF還積累了1,400份11月合約。但按照它的增長速度(該基金已經管理了超過10億美元),可能很快觸及5,000份合約的最大總頭寸。
文章表示,雖然目前的資金流入速度可能讓BITO遇到這些限制,但競爭產品的推出可能會緩解壓力。Valkyrie和VanEck的基金都將在未來幾天內開始交易。此外,CME將從11月開始,將近月合約的上限提高至4,000份,但隨后每個月的合約限制仍為2,000份。(bloomberg)[2021/10/22 20:48:33]
攻擊者地址:
德克薩斯州參議員:基礎設施法案包含會破壞加密和區塊鏈創新的危險條款:8月8日消息,德克薩斯州參議員Texas Senator在最新的推特中表示,參議院即將通過立法,這對加密貨幣來說是可怕的。基礎設施法案包含會破壞加密和區塊鏈創新的危險條款,加密貨幣的支持者需要發出自己的聲音。(U.today)[2021/8/8 1:42:20]
0xC6f2bDE06967E04caAf4bF4E43717c3342680d76--部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E--收款地址
2.攻擊流程
攻擊調用流程攻擊者構造payload并調用被攻擊合約0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函數
政策 | 以色列發布新草案 加密貨幣進入“危險信號”列表:據News.bitcoin消息,12月31日,以色列洗錢和恐怖融資禁止局發布了題為“虛擬資產領域的危險信號”的指南草案,供公眾審查。該文件包含“危險信號”列表,旨在幫助私營部門制定與數字資產(例如,加密貨幣)相關的反洗錢風險政策。該指南草案列出了數十個危險信號,很多都是針對那些試圖保護自己隱私的用戶,比如使用硬幣混合器(coin mixers)或買賣Dash、門羅幣、zcash等,還著重提到VPNs、Tor和其他隱私增強技術的用戶。[2020/1/2]
具體使用的Payload如下--圖中選中部分即為利用授權轉賬部分的payload:
聲音 | 存款保險公司CEO:依賴加密貨幣是非常危險的:據cointelegraph消息,7月25日,尼日利亞存款保險公司(NDIC)發布了關于依賴加密貨幣的公開警告。NDIC的 CEO Umaru Ibrahim表示,依賴加密貨幣是非常危險的,因為它們在大多數金融司法管轄區都不受中央銀行的監管和支持。[2019/7/26]
調用一次正常50刀的跨鏈橋功能
在payload中包括多個call方法(調實際用transferFrom)。讓0x5a9fd7c3調用37個call,借此利用多個錢包對于0x5a9fd7c3合約的授權(approve)將錢包資產轉賬到攻擊者地址:
后續執行正常的跨鏈橋邏輯_startBridge(_cBridgeData);。這也是為什么第一個swap是正常的,這樣才能讓后續邏輯正常執行下去
3.漏洞細節
導致本次問題的根本原因被攻擊合約0x5a9fd7c3的邏輯合約存在一個批量讓call調用傳入數據的函數swapAndStartBridgeTokensViaCBridge
該合約將會取出payload中的多個_swapData數據結構并調用,LibSwap.swap(...);實現如下:
借此,攻擊者利用該合約的call將各個錢包對0x5a9fd7c3合約的代碼授權轉走了多個錢包中的各種代幣。
4.項目方進展
在事件發生后,項目方第一時間對合約可能的方法進行了停用,并為其審計和安全性問題進行致歉。
而后,項目方還聯系了黑客,希望能與其取得聯系并和平解決:
同時,最快的時間將漏洞合約修復后上線:
并將錢包對于之前被攻擊合約的授權取消,對新的合約進行了重新授權:
最后,將用戶資產進行補回:
同時我們關注到,其在polygon鏈上的合約也已實現了新的部署:
三、總結
此次攻擊的根本原因是項目方對于swapAndStartBridgeTokensViaCBridge合約的實現過度自由化所導致的call調用注入,但項目方積極的面對問題的態度和后續補救的及時性值得學習和肯定。不貴于無過,而貴與改過。但我們仍希望能將錯誤扼殺在發生之前,應從他人的錯誤中學習并避免自己未來的錯誤,正如Li.Finance所說的那樣:
我們的使命是最大化用戶體驗,現在我們痛苦地了解到,為了遵循這種精神,我們的安全措施必須大幅改進。
近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:IDGBRIDGEDGE加密貨幣squidgrow幣中文名叫什么啊BRIDGE價格TruBadger哪些國家禁止加密貨幣
在圈里待久了的人都知道,像區塊鏈行業發展日新月異那樣,全球主流數字貨幣排行榜可謂「常看常新」。去年的前十名和今年的前十名可能多半都不一樣,個別熱潮興起的時候,甚至月與月之間的排名,都能“換血”多.
1900/1/1 0:00:00每周摘要:CPI指數發布后,比特幣價格持續下跌。ERC-721R發布,NFT買家可退還錢款,該舉措能否進一步增加買家們對NFT項目方的信任?Juno社區投票否決18號提案,拒絕和CCN平分沒收代.
1900/1/1 0:00:00Qredonians, 今天我們完成了第一次QRDO銷毀,為鑄造第一組驗證者NFT做準備。以下是您需要了解的內容:總共燒毀了4千萬的QRDO 約合近1億美元 40個驗證者NFT將被鑄造總供應量減.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 2021年11月11日,波卡迎來了上線后的重要里程碑,波卡網絡平行鏈插槽Auction正式啟動,在經歷了一個多月的激烈角逐后.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00https://doraresear.ch/2022/04/30/light-weight-maci-anonymization/ 更多閱讀: 1.
1900/1/1 0:00:00