前言
2022年1月18日,知道創宇區塊鏈安全實驗室?監測到BSC上Crosswise遭遇攻擊,此次攻擊導致協議損失87.9萬美元。
攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS。實驗室將對本次事件深入跟蹤并進行分析。
基礎信息
攻擊交易哈希:
0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b
攻擊者地址:
0x748346113B6d61870Aa0961C6D3FB38742fc5089
Crypto.com將2億枚CRO轉入以太坊黑洞地址:金色財經報道,據Whale Alert監測,加密交易所Crypto.com將2億枚CRO(約1750萬美元)轉入以太坊黑洞地址。[2023/2/21 12:19:06]
攻擊合約:
0x530B338261F8686e49403D1b5264E7a1E169F06b
MasterChef:
0x70873211CB64c1D4EC027Ea63A399A7d07c4085B
CrosswiseRouter:
0x8B6e0Aa1E9363765Ea106fa42Fc665C691443b63
加密貨幣交易所CrossTower與大宗經紀公司Bequant簽署收購協議:金色財經報道,加密貨幣交易所CrossTower宣布已簽署協議,收購大宗經紀業務和數字資產交易所Bequant,交易條款沒有披露。據新聞稿稱,此次收購將使CrossTower能夠在全球范圍內擴張并增加600多個交易所客戶,Bequant創始人兼首席執行官George Zarya表示,“市場需要為下一階段的成熟進行整合。毫無疑問,隨著更嚴格的監管和更大的資產負債表,市場將繼續增長和發展,并將重新贏得投資者的信任”。
CrossTower于2020年5月推出,旨在迎合機構投資者的需求。它獲得了由技術投資者和Mangrove Capital聯合創始人Gerard Lopez牽頭的600萬美元種子輪融資,除了收購公告,CrossTower還推出了由Lydian Group支持的新加密ESG基金。[2022/11/30 21:11:19]
CRSS:
數據:20分鐘內發生3筆10億枚及以上CRO大額鏈上轉賬:10月10日消息,Whale Alert監測數據顯示,20分鐘內發生多筆CRO大額鏈上轉賬移動,分別為10億枚(約1.07億美元)、10億枚(約1.07億美元)、13.33億枚(約1.43億美元)。[2022/10/10 12:51:55]
0x99FEFBC5cA74cc740395D65D384EDD52Cb3088Bb
攻擊核心
此次攻擊的核心在于,Crosswise中的MasterChef合約Owner地址設置即transferOwnership函數能夠被攻擊者繞過,使得攻擊者能夠成為新的Owner并對MasterChef池子進行攻擊利用。我們將本次攻擊過程分為兩個階段進行分析:獲取Owner權限攻擊和MasterChef池攻擊。
Microstrategy CEO:戰爭造成通貨膨脹使BTC更具有吸引力:2月27日消息,Microstrategy首席執行官Michael Saylor認為,戰爭會造成通貨膨脹并削弱商業活動。根據其說法,這反過來又使比特幣具有吸引力,因為它可以作為對沖上述通貨膨脹的替代品。(Ethereum World News)[2022/2/27 10:18:42]
獲取Owner權限攻擊
1.由于在MasterChef合約中setTrustedForwarder?函數為公開可見性且未作權限設置,攻擊者先將自己的地址設置為TrustedForwarde地址。
2.Crosswisefi項目方對MasterChef的_msgSender()函數并未采取openzepplin的標準寫法且存在漏洞,導致攻擊者能夠通過構造惡意的calldata實現繞過onlyOwner限制完成合約Owner的獲取。
下圖為攻擊者繞過onlyOwner權限構造的惡意payload:
MasterChef池攻擊
1.攻擊者在CrosswiseRouter中用0.01個WBNB兌換出3.71個CRSS
2.攻擊者調用deposit將1個CRSS質押到CrosswiseMasterChef
3.由于上一階段攻擊者已經獲取到MasterChef的Owner權限,此時攻擊者調用set函數對MasterChef的pid為0的池子重新部署了一個未開源的策略合約:0xccddce9f0e241a5ea0e76465c59e9f0c41727003
4.攻擊者調用MasterChef的withdraw函數從池子中獲取692K的CRSS
5.最后攻擊者把692K的CRSS通過CrosswiseRouter合約swap兌換出547個BNB完成攻擊,獲利超87.9萬美元。
策略合約
猜想
由于攻擊者部署的策略合約并未開源,我們只能反向推導猜想策略合約的主要邏輯:
1.根據下圖第18行代碼可以推斷出合約中lockedAmount應該是一個極大值才能支撐攻擊者692k的代幣轉出;又根據第7-11行可以推導出攻擊者部署的strategy合約的LockeTotal()函數返回值極大、sharesTotal()返回值極小。
2.在上圖代碼23行當_amount>0時,會先計算出user的shareRemoved,然后在執行user.amount=user.amount.sub(shareRemoved);,此時若shareRemoved大于user.amount則代碼執行不會通過,可以推導出26行的shareRemoved值很小,又shareRemoved是調用攻擊者部署strategy合約中withdraw獲取,所以此時的strategy合約中withdraw的返回值會很小,小于之前質押的1個CRSS數量;再結合鏈上數據可推導攻擊者部署strategy合約中的withdraw調用返回值為0。
反編譯
為了證實我們的猜想是否正確,我們將攻擊者部署的策略合約進行反編譯。
反編譯后我們可以發現存在一個極大值和一個較小值的常量,即對應猜想1中LockeTotal和sharesTotal值,猜想1正確。
對于猜想2,經過反編譯后我們可以看到策略合約的withdraw最后的返回值為0,猜想2正確
總結
這次攻擊產生的主要原因是項目方使用錯誤的方法去獲取msgSender,導致合約的Owner權限更改能被繞過。知道創宇區塊鏈安全實驗室?在此提醒,任何有關合約權限問題的操作都需要慎重考慮,合約審計、風控措施、應急計劃等都有必要切實落實。
Tags:CROROSTERCROSZK Cross Chain BridgeBifrost (BNC)Monster Ball
原文作者:@0xFeng趁著這雞肋無趣的行情記錄/分享一下我這一年多來的擼毛旅程,有收獲,也有心酸。主要也是為了復盤過往、吸取經驗教訓來展望未來.
1900/1/1 0:00:00本文來自微信公眾號老雅痞。前幾天我在OpenSea上購買了一個NFT,是才華橫溢的藝術家海倫·福爾摩斯(HelenHolmes)的漫畫,來自她的"原作"收藏,現在正自豪地展示在我的crypto.
1900/1/1 0:00:00親愛的用戶: 幣安NFT市場將推出“MOBOXMOMOverse”盲盒系列,該系列將獨家發售給在2021年12月參與幣安小程序MOBOX活動並在其賬戶中獲得MOBOXNFT頭像的用戶.
1900/1/1 0:00:00頭條 派盾:OpenSea網絡釣魚攻擊事件攻擊者使用Tornado.cash混幣1100ETH派盾發布相關交易記錄表示,OpenSea網絡釣魚事件攻擊者將攻擊所得部分NFT出售獲利后.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線WBOND,並開啟WBOND/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月18日18:00; WBOND Aztec Networ.
1900/1/1 0:00:00Gate.io已上線ASK/USDT交易對礦池,並於11:00就ASK/USDT交易礦池新增額外7,605,600ASK.
1900/1/1 0:00:00