Superfluid_HQ被黑分析-ODAILY

前?

2022年2月8日，知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊，損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析。

攻擊涉及基礎信息

Superfluid：0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

Coinbase Pro將上線POLS、FOX、SPELL、SUPER、IDEX、COVAL、MCO2等幣種:12月7日消息，Coinbase Pro將上線CircuitsofValue(COVAL)、IDEX(IDEX)、MossCarbonCredit(MCO2)、Polkastarter(POLS)、ShapeShiftFOXToken(FOX)、SpellToken(SPELL)和SuperFarm(SUPER)，如果滿足流動性條件，交易將于12月7日太平洋時間(PT)上午9點或之后開始。[2021/12/7 12:55:39]

攻擊交易hash：0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

加密藝術平臺SuperRare3月成交額相比2月增長184.8%:DuneAnalytics發布的數據顯示，加密藝術平臺SuperRare3月成交額為2960萬美元，相比2月增長184.8%；3月收入為370萬美元，相比2月增長157.5%；3月收藏者活躍數為2609，藝術品售出數量為3179件，平均每件藝術品價格為6.52ETH。[2021/4/1 19:36:01]

黑客地址：0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

ZT創新板即將上線SUPT:據官方消息，ZT創新板即將上線SUPT，定于2021年3月14日 10:00開放充值；

2021年3月16日14:00開啟SUPT/USDT交易對；2021年3月16日15:00開放提幣。

SUPT是首個區塊鏈和AI智能駕駛大數據相結合的落地項目，利用區塊鏈技術致力于提高全球道路交通安全，以首個AI智能駕駛創始區塊礦機為數據價值載體，打造首個基于可信云計算出行數據鏈。

ZT數字資產交易平臺是一家全球性的數字資產交易服務商，致力于為全球用戶打造創新型數字資產首發地。[2021/3/11 18:36:50]

攻擊合約地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

漏洞核心

此次漏洞核心在于函數callAgreement,該函數主要作用在于提供一個名為"ctx"的數據結構，“ctx”被用于協議間的通信共享。而此次事件的攻擊者就是對”ctx“數據進行了偽造，達到欺騙合約的目的。

漏洞利用

為什么假數據會被采用以及攻擊者是如何構造假“ctx”數據的？

從交易中可以看到攻擊者是直接在callData結尾處傳入了假“ctx”，同時真“ctx”數據也被構建出來了的，只是程序在處理數據時會將callData數據與“ctx”打包成一個對象，當協議對該對象進行解碼時，ABI解碼器僅會處理位于前面的數據而忽略掉后面的數據。

而構建一個假“ctx”數據也并不復雜，由于“ctx”結構末尾為全零所以僅需要仿照“ctx”結構將其直接添加在userData中，以下是官方示例如何構建一個假“ctx”：

總結

本次攻擊事件在于協議數據處理時無條件信任來源數據，應當對用戶數據與官方構造數據進行標識區分。近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：CTXSUPSUPEUPECTXC幣Super Algorithmic TokenSUPERCAT價格Super Heavy Booster 4

狗狗幣最新價格