買比特幣 買比特幣
Ctrl+D 買比特幣
ads

COMB:Furucombo 究竟為何會遭受攻擊?慢霧拆解攻擊細節_COM

Author:

Time:1900/1/1 0:00:00

Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。與Furucombo交互過的用戶應及時撤銷相關授權,避免進一步損失。

原文標題:《可避天災,難免人禍——Furucombo被黑分析》撰文:慢霧安全團隊

據鏈聞消息,著名DeFi項目Furucombo被黑,損失約1500萬美元。慢霧安全團隊第一時間介入分析,并將攻擊細節分享給大家。

攻擊細節分析

本次發生問題的合約在Furucombo本身的代理合約當中。整個攻擊流程很簡單。攻擊者通過設置了Furucombo的AaveV2Proxy的邏輯地址導致后續通過Furucombo代理合約調用的邏輯全部轉發到攻擊者自己的惡意合約上,導致任意資金被盜。

幻想體育平臺Fanfury:FURY代幣將很快上線Juno,請用戶盡快驗證Terra地址:7月8日消息,幻想體育平臺Fanfury發推稱,FURY代幣將很快上線Juno。請所有用戶盡快驗證各自的Terra地址,建議在7月13日前完成,否則可能會失去粉絲俱樂部的認領資格以及延遲收到代幣的時間。[2022/7/8 2:00:37]

但是如果事情那么簡單,那么本次分析不值一提。問題遠比想象的復雜得多。

如上圖所示攻擊者的入口在Furucombo的batchExec函數,我們先對batchExec函數進行分析:

以上是FurucomboProxy合約的batchExec函數的具體實現,其中_preProcess和_postProcess合約分別是對調用前后做一些數據上的處理,不涉及具體的調用邏輯,這邊可以先忽略。我們主要觀察核心的_execs函數:

Infura、Truffle和MetaMask將支持Optimism主網:ConsenSys表示,Infura、Truffle和MetaMask將支持Optimism主網。Infura將作為Optimism的API,Truffle能夠簡化在Optimism主網部署應用的程序,MetaMask將為用戶提供低摩擦確認。[2021/6/19 23:49:31]

通過對execs代碼的分析不難發現,函數的主要邏輯是對configs數組的數據做檢查,并根據configs數組的數據對data進行一些處理。但是回顧上文中攻擊者的調用數據,不難發現攻擊者的調用數據中,configs的數據是一個0地址:

這里有一個trick,由于0地址是一個EOA地址,所有對EOA地址的函數調用都會成功,但是不會返回任何結果。結合這個trick,execs函數中的關于configs數據的部分可以先暫時忽略。直接看到最后的核心_exec函數:

Infura:已開始進行Geth v1.9.24版本部署更新:Ethereum和IPFS的API服務供應商Infura官方發推稱,已開始在基礎設施中進行Geth v1.9.24版本部署更新。[2020/11/13 14:12:36]

_exec函數的邏輯也很簡單,在校驗了_to地址后,直接就將data轉發到指定的_to地址上了。而通過對攻擊交易的分析,我們能發現這個_to地址確實是官方指定的合法地址。

最后一步,便是調用_to地址,也就是官方指定的AaveV2Proxy合約的initialize函數,將攻擊者自己的惡意地址設置成AaveV2Proxy合約的邏輯地址。通過對Furucombo合約的分析,可以發現整個調用流程上沒有出現嚴重的安全點,對調用的地址也進行了白名單的檢查。那么問題只能是出在了對應要調用的代理邏輯上,也就是AaveV2Proxy合約。

動態 | Consensys擁有的以太坊基礎設施解決方案提供商Infura推出3項新服務:ConsenSys擁有的以太坊基礎設施提供商Infura推出三種具有“增強”功能的新服務。該公司周四宣布,其“Infura+”套餐包括三項基于訂閱的服務:開發者、團隊和增長,供區塊鏈開發者在以太坊網絡上構建“各種規模”的DApp。該公司表示,Infura+適用于需要增加請求量、以太坊存檔數據等功能以及團隊直接提供高級支持的應用。[2019/7/18]

我們直接分析AaveV2Proxy合約的initialize函數的邏輯:

可以看到initialize函數是一個public函數,并在開頭就檢查了_implementation是否是0地址,如果是0地址,則拋出錯誤。這個檢查的目的其實就是檢查了_implementation是否被設置了,如果被設置了,就無法再次設置。根據這個設置,不難想出initialize這個函數只能調用一次。除非AaveV2Proxy從來沒有設置過_implementation,否則這個調用是不會成功的。難道Furucombo真的沒有設置過對應的_implementation嗎?帶著這樣的疑問,我們檢查了交易內的狀態變化。如下:

可以看到,交易中改變了存儲位置為0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc的內容,而寫入的內容正是攻擊者自己的惡意合約地址0x86765dde9304bea32f65330d266155c4fa0c4f04。

而0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc這個位置,正是_implementation數據的存儲地址。

也就是說,官方從來沒有設置過AaveV2Proxy合約的_implementation地址,導致攻擊者鉆了這個空子,造成了Furucombo資產損失。

總結

通過對整個事件的分析來看,Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。

建議

目前,由于Furucombo遭受攻擊,導致任何將代幣授權過給Furucombo合約(0x17e8ca1b4798b97602895f63206afcd1fc90ca5f)的用戶都將面臨資金損失的風險。

慢霧安全團隊建議與Furucombo交互過的用戶檢查是否有將相關代幣授權給Furucombo合約。如有授權,應及時撤銷相關授權,避免進一步損失。

來源鏈接:mp.weixin.qq.com

免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。

FURUCOMBO

FURUCOMBO

FURUCOMBO旨在節省操作步驟與手續費,無限DeFi組合。在不知道如何編程的情況下,將自己的DeFi投資組合進行集成。將所有策略整合到一個交易中,拖動多維數據集以重新排列操作順序。Furucombo查看更多

Tags:FURCOMCOMBUCOCenfura TokenCOMBOcombo幣發行價UCO Network

狗狗幣價格
區塊鏈:關于LBank藍貝殼啟動「Alpha5 (A5T)」USDT專場售賣的公告_區塊鏈技術的應用

尊敬的LBank用戶: LBank藍貝殼將于3月1日啟動「Alpha5(A5T)」專場售賣,本次售賣總額度為等值100000USDT的A5T「USDT專場」享有30000USDT等值額度.

1900/1/1 0:00:00
TXS:比特幣四小時形成下降收斂三角形震蕩形態!_買賣比特幣會坐牢嗎

比特幣天圖 2020.2.26這一天比特幣天圖收盤在上升趨勢線和15EMA均線下方,預示著天圖級別的上漲趨勢暫停!接下來將進入一段復雜調整周期,在復雜調整周期中,我們盡可能保持觀望的態度.

1900/1/1 0:00:00
比特幣:債券,科技股遭拋售后,比特幣顯得優柔寡斷_hotcoinglobal交易所下載2022

比特幣周五多數交易橫盤整理,隔夜大幅下跌至低至44,181美元,同時債券和科技股大幅拋售。截至發稿時,根據CoinDesk的比特幣價格指數,最大的加密貨幣交易價格為47,921美元,在過去24小.

1900/1/1 0:00:00
比特幣:投資比特幣的機構版圖:哪些銀行巨頭正在布局數字資產?_比特幣美元匯率換算

“起風了,那烏家就破產吧”。近日,國產電視劇《贅婿》頻頻喜提熱搜,男主寧毅利用“期貨”、“做多”、“對沖”等現代金融思維,使得對手烏家資金鏈斷掉,向男主寧毅低頭,看得觀眾直呼過癮.

1900/1/1 0:00:00
UNI:從“Coinbase 效應”到“灰度效應” 灰度投資首期“考察名單”有何特點?_Flourish Coin

近日,灰度投資宣布考慮新增AAVE、UNI等23個幣種的加密貨幣投資產品。公告中,官方表示由于創建結構性投資產品需要進行審查和考慮并受嚴格的內部控制,需要足夠安全的托管安排和監管考慮的制約,因此.

1900/1/1 0:00:00
BBK:BBKX關于全新挖礦空投BBK規則修改通知_BKX

親愛的BBKX用戶 因新上線的云算力系統暫不支持“全新挖礦”按購買先后順序空投BBK,全新挖礦空投BBK規則將由原“每期平臺將分別推出“USDT購買云算力”和“BBK購買云算力”兩個產品.

1900/1/1 0:00:00
ads