原文:《正處于“刮骨療” 自救的SushiSwap,今日又是如何被黑客攻擊的?》
在嚴峻的財務壓力下,黑客又來一擊,那在黑客的打擊下,SushiSwap能否走出自救的道路?
2023年4月9日,據BeosinEagleEye態勢感知平臺消息, SushiswapRouteProcessor2合約遭受攻擊,部分對合約授權過的用戶資金被黑客轉移,涉及金額約1800ETH,約334萬美元。
據了解,SushiSwap 流動性挖礦項目,克隆自 Uniswap,最大的不同是其發行了 SUSHI 代幣,團隊希望用 SUSHI 通證經濟模型,優化 Uniswap。但 Uniswap 創始人 Hayden Adams 表示,Sushi 只是任何有能力的開發人員通過一天的努力創造出來的東西,試圖利用炒作和 Uniswap 創造的價值來獲利。
香港首批虛擬資產期貨ETF發行商南方東英的ETF產品管理規模在香港市場已位列第二:金色財經報道,監管部門近日發文表示將從支持基金公司依法設立境外子公司,南方東英相關負責人介紹,該公司正在加速豐富ETF產品線,包括發行了香港首批貨幣ETF以及香港首批虛擬資產期貨ETF等。目前,南方東英在香港市場布局了超過40只ETF產品和杠桿及反向產品,覆蓋港股、A股、主題、固收、貨幣、商品等類別。截至2022年底到現在,南方東英ETF產品管理規模在香港市場已位列第二。(中國基金報)[2023/7/10 10:12:50]
其實在本次攻擊之前,這個項目還有另外的“坎坷”,去年12 月 6 日,上任僅兩個月的 Sushi 新任“主廚” Jared Grey 于治理論壇發起了一項新提案。在該提案中,Jared 首次向外界披露了 Sushi 當前嚴峻的財務狀況,并提出了一個暫時性的自救方案。(相關閱讀:《Sushiswap財庫告急,新任“主廚”按下“自救鍵”》)
Fallon律師:Jimmy Fallon與Yuga Labs和Ripps案無關:金色財經報道,Jimmy Fallon律師表示,雖然Fallon獲得了 BAYC NFT 并在他的節目中談論了該系列,但他與 Yuga Labs 和 Ripps 案無關。在周一提交給法庭的文件中,Fallon的律師要求發出傳票,要求這位喜劇演員就 Yuga Labs 訴 Ripps 等人一案作證,案件被撤銷。
非常成功的 NFT 系列 Bored Ape Yacht Club (BAYC) 的創建者 Yuga Labs 正在起訴 Ryder Ripps 和 Jeremy Cahen 發行山寨版BAYC NFT 系列,Yuga Labs起訴他們商標侵權、虛假廣告和不正當競爭?。[2023/3/8 12:48:27]
正是在這樣的壓力下,黑客又來一擊,那在黑客的打擊下,SushiSwap能否走出自救的道路?
Coinbase Cloud推出Web3開發者平臺Node:9月21日消息,區塊鏈基礎設施平臺Coinbase Cloud宣已正式推出其Web3開發者平臺Node,允許用戶免費構建新的去中心化應用程序。Node允許用戶在訪問以太坊區塊鏈和索引器的同時創建和監控Web3應用程序,提供分層級訂閱收費模式,以面向不同程度的開發者。
Coinbase Cloud表示,Node可以更快地創建Web3應用程序,同時降低復雜性和成本。這為平臺提供更廣泛的服務提供了支持,其中包括對支付、身份、交易和數據基礎設施的一站式訪問。[2022/9/21 7:11:51]
STEPN創始人:調整收入分配為不實消息,白皮書內容沒有實質性改變:5月28日消息,STEPN 聯合創始人 Yawn Rong 在社交媒體上針對今日“STEPN 更改白皮書,調整收入分配”一事進行回應。Yawn Rong 表示:“4% 的 Royalty Fee 在 NFT 領域向來是屬于創作者的,最早的鞋子 NFT 創作者就是 STEPN 團隊,之后有跟亞瑟士(ASICS)合作的 NFT,這部分就屬于 STEPN 團隊與亞瑟士官方共享,未來我們會引入更多 Realm,增加更多創作者。本次調整白皮書,STEPN 團隊在白皮書的 Change Log 中有明確的公示,且白皮書中從始至終都是 2% 的交易手續費中不低于 5% 的收益會用于回饋生態,并沒有改變任何實質性內容。”
據統計,Stepn目前每日交易費用凈利潤為200-500萬美元,月收入高達1億美元。[2022/5/28 3:47:30]
我們以其中一筆攻擊交易進行事件分析。
日本ANA控股旗下元宇宙子公司ANA NEO與保險公司Sompo合作開發元宇宙保險產品:5月16日消息,日本保險公司Sompo宣布,已與日本ANA控股旗下元宇宙子公司ANA NEO達成合作,以為元宇宙開發保險產品和展示服務。據悉,ANA NEO于2009年成立,運營虛擬旅游平臺“SKY WHALE”,并于今年3月份宣布完成約3380萬美元融資。(Coinpost)[2022/5/16 3:18:17]
0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8
攻擊者地址
0x719cdb61e217de6754ee8fc958f2866d61d565cf
攻擊合約
0x000000C0524F353223D94fb76efab586a2Ff8664
被攻擊合約
0x044b75f554b886a065b9567891e45c79542d7357
被攻擊用戶
0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1
1.攻擊者地址(0x1876…CDd1)約31天前部署了攻擊合約。
2.攻擊者發起攻擊交易,首先攻擊者調用了processRoute函數,進行兌換,該函數可以由調用者指定使用哪種路由,這里攻擊者選擇的是processMyERC20。
3.之后正常執行到swap函數邏輯中,執行的功能是swapUniV3。
4. 在這里可以看到,pool的值是由stream解析而來,而stream參數是用戶所能控制的,這是漏洞的關鍵原因,這里lastCalledPool的值當然也是被一并操控的,接著就進入到攻擊者指定的惡意pool地址的swap函數中去進行相關處理了。
5.Swap完成之后,由于此時lastCalledPool的值已經被攻擊者設置成為了惡意pool的地址,所以惡意合約調用uniswapV3SwapCallback函數時校驗能夠通過,并且該函數驗證之后就重置了lastCalledPool的值為0x1,導致swapUniV3函數中最后的判斷也是可有可無的,最后可以成功轉走指定的from地址的資金,這里為100個WETH。
本次事件攻擊者主要利用了合約訪問控制不足的問題,未對重要參數和調用者進行有效的限制,導致攻擊者可傳入惡意的地址參數繞過限制,產生意外的危害。
針對本次事件,Beosin安全團隊建議:
1.在合約開發時,調用外部合約時應視業務情況限制用戶控制的參數,避免由用戶傳入惡意地址參數造成風險。
2.用戶在與合約交互時應注意最小化授權,即僅授權單筆交易中實際需要的數量,避免合約出現安全問題導致賬戶內資金損失。
Beosin
企業專欄
閱讀更多
金色財經 善歐巴
Chainlink預言機
金色早8點
白話區塊鏈
Odaily星球日報
Arcane Labs
歐科云鏈
深潮TechFlow
BTCStudy
MarsBit
撰寫:Ignas 本文將介紹一些最新的加密貨幣投資動態,并重點關注一些處于種子輪階段的項目,它們的發展前景備受關注.
1900/1/1 0:00:00撰文:The DeFi Investor當今加密貨幣市場中,以太坊生態系統一直是最為活躍和受歡迎的項目之一。然而,要實現大規模采用還需要更多的創新和突破.
1900/1/1 0:00:00原文來源:Galaxy Digital 原文編譯:白澤研究院 注:本報告使用 Pitchbook 的數據,VC 交易數據的報告可能會滯后.
1900/1/1 0:00:00原文作者:阿爾法新醬 原文來源:twitter注:本文來自@0xShinChannn 推特,MarsBit整理如下:如何透過單一幣種持倉就可以在 @uniswap 進行 LP 質押.
1900/1/1 0:00:00引言 為了帶大家更好的了解加密貨幣的全球政策,郭律師團隊曾在今年春節前后,先后在文字型的自媒體平臺發布了全球十幾個主流國家或地區的加密貨幣歷年政策.
1900/1/1 0:00:00文/Paul Veradittakit,Pantera Capital主管合伙人;譯/金色財經xiaozou MEV簡介 MEV(最大可提取值)概念最近在加密貨幣世界獲得了大量關注.
1900/1/1 0:00:00