買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Pol幣 > Info

TOKE:區塊鏈安全月報——盤點解析 1 月典型安全事件_Txbit Token

Author:

Time:1900/1/1 0:00:00

此篇文章由Cobo區塊鏈安全研究團隊供稿,是?Cobo?Labs?的第??4??篇文章。

跨鏈橋Multichain漏洞

1月18日知名跨鏈橋Multichain發現并修復了一個針對WETH,PERI,OMT,WBNB,MATIC,AVAX共6種代幣有重要影響的漏洞。凡對MultichainRouter授權過上述代幣的用戶均受影響,攻擊者可直接利用漏洞轉走用戶授權的代幣。根據19日的官方公告,由于部分用戶未及時取消授權,有約445WETH被攻擊者盜走。

漏洞發生在AnyswapV4Router合約上的anySwapOutUnderlyingWithPermit函數中,由于函數對Token參數的合法性沒有校驗,攻擊者可傳入偽造的Token合約來代替原本官方的AnyswapV1ERC20?Token。另一方面WETH等代幣合約沒有實現permit方法但是實現了fallback函數,因此在后續調用permit時不會發生revert,可以繼續成功執行下去。最終導致攻擊者可以將受害者approve給AnyswapV4Router合約的Token盜走。

關鍵代碼如下:

區塊鏈公司Jelurida將在東非開展為期30天的區塊鏈教育活動:金色財經報道,區塊鏈公司Jelurida將在東非開展為期30天的區塊鏈教育活動。Jelurida Africa將于10月23日從坦桑尼亞自治州桑給巴爾開始,然后繼續前往肯尼亞、盧旺達、烏干達、贊比亞、馬拉維、莫桑比克、津巴布韋和坦桑尼亞。該組織旨在通過大學、金融機構和公共辦公室的聚會來促進區塊鏈教育。分布式賬本技術和智能合約專家團隊表示,計劃與當地立法者、私營公司以及各自國家的開發商和區塊鏈愛好者進行接觸。[2021/10/14 20:27:26]

CoboComment

對于普通用戶來說,需要特別留意Token無限授權所帶來的風險。授權盡可能保證只授權用到的Token數量,而不要使用默認的無限授權,避免節約了gas卻丟失了本金。對已有的無限授權要及時撤銷,查詢賬戶的授權情況可以使用Etherscan的工具https://etherscan.io/tokenapprovalchecker。

Reference

https://github.com/W2Ning/Anyswap_Vul_Poc

https://theblockbeats.info/news/28774

動態 | 金運激光:將擇機推出區塊鏈記賬器的應用:據證券時報消息,金運激光(300220.SZ)10月27日在互動平臺表示,公司研發的區塊鏈記賬器通過上鏈后就可對IP進行相關的知識產權保護和溯源等功能,公司將根據發展進程擇機推出相應的應用。[2019/10/28]

https://hackernoon.com/erc20-infinite-approval-a-battle-between-convenience-and-security-lk60350r

BSC上的DEXCrosswise遭攻擊

1月18日BSC上的DEX項目Crosswise遭受攻擊,損失約30萬美金,并造成CRSSToken幣價閃崩。

問題是因MasterChef合約的setTrustedForwarder函數沒有正確進行權限校驗。當攻擊者修改了TrustedForwarder后,可以實現偽造msg.sender的效果,從而直接獲取到MasterChef的owner權限。然后再利用owner權限調用set函數設置?strategy為攻擊者的惡意參數0xccddce9f0e241a5ea0e76465c59e9f0c41727003。修改strategy后通過少量deposit即可withdraw大量的CRSSToken獲利。

動態 | 區塊鏈科技公司Graph Blockchain獲韓國郵政試點合同,將采用區塊鏈來確保信息隱私:據Tokenpost消息, 區塊鏈科技公司Graph Blockchain已獲得韓國郵政(Korea Post)的試點合同,并將與韓國電信(Korea Telecom)合作,采用私有區塊鏈來確保信息隱私。據悉,Graph Blockchain將使用開源的Hyperledger Fabric框架,通過近乎實時的數據處理和直觀的數據可視化,將賬本透明化并防止篡改。據此前報道,Graph Blockchain數天前曾宣布與韓國國土交通部達成合作,旨在將韓國交通數據保存到區塊鏈當中,并提供數據有效化與保護解決方案。[2019/6/28]

官方公告也承認這個漏洞過于明顯,似乎是開發者有意為之,其內部調查后開除了4個開發者。目前已經對鏈上數據進行了快照,后續將進行重新部署。官方git上已經開始進行整體的代碼審計,據稱后續會再聯合Certik進行審計。

相關代碼如下:

官方公告也承認這個漏洞過于明顯,似乎是開發者有意為之,其內部調查后開除了4個開發者。目前已經對鏈上數據進行了快照,后續將進行重新部署。官方git上已經開始進行整體的代碼審計,據稱后續會再聯合Certik進行審計。

行情 | A股開盤:區塊鏈板塊開漲0.53%:A股開盤,區塊鏈板塊開漲0.53%。80只概念股中,57漲5平18跌。上漲前三為:宣亞國際(+4.35%)、新國都(+1.71%)、先進數通(+1.39%);跌幅前三為:嘉澤新能(-4.15%)、夢網集團(-3.41%)、榮之聯(-1.87%)。[2019/3/1]

CoboComment

此次攻擊針對的是MasterChef合約,其實不會直接盜取用戶的LP或者CRSStoken,但幣價大跌還是會讓持有CRSS的用戶造成實際的損失。查看官方doc上無法找到項目審計報告,此漏洞比較明顯,如果經過安全公司審計的話,很大概率可以暴露出來。對于個人投資者來說,未經過審計的項目還需謹慎。

Reference

https://twitter.com/peckshield/status/1483340900398895105

https://crosswise.medium.com/post-exploit-update-2a24c3370466

https://bscscan.com/address/0x70873211cb64c1d4ec027ea63a399a7d07c4085b#code

英國智庫循證管理中心主管:區塊鏈是一時的狂熱,不能為金融行業帶來太多:英國智庫循證管理中心主任馬丁·沃克(Martin Walker)駁斥了區塊鏈技術,稱人們對區塊鏈的態度就像對“精靈仙塵”的一時狂熱。沃克表示,區塊鏈為行業所帶來潛在利益并不如我們想象的那樣大。他稱:“人們對于很多事物往往不會深入進行思考,因此一個比較可信的想法很容易就會變成流行一時的熱潮。現在區塊鏈已經成了銀行業和許多行業的寵兒。”[2018/5/2]

https://github.com/crosswise-finance/crosswise-code-review-1.1

Rari#90即FloatProtocolPool遭受預言機操縱攻擊

1月15日,RariCapital上的90號池即FloatProtocol池遭受預言機操縱攻擊。

該池使用UniswapV3FLOAT/USDC交易對報價,而在攻擊發生之前幾天,FLOAT/USDC池中流動性下降,低流動性給了攻擊者進行進行預言機操縱攻擊的機會。攻擊者使用47ETH在池中使用USDC兌換FLOAT,導致FLOAT報價升高。之后再使用FLOAT抵押到Rari#90池中借出其他資產實現獲利。攻擊手法與2021年11月發生的Rari#23池VesperLendBeta攻擊一致。

CoboComment

對于一些無法使用ChainLink預言機報價的小幣種,DeFi合約中通常會使用DEX作報價。目前UniswapV2/V3延時報價雖然可以抵抗閃電貸攻擊,但無法抵抗真實的大資產操縱;而TWAP時間加權機制雖然可以在一定程度上提高操縱難度,但只能緩解不能根除。從開發者角度,可以考慮在合約中添加一定風控類代碼針對惡意報價進行檢查。對普通用戶而言,則要留意相關的流動性池,提防價格操縱風險。

Reference

https://twitter.com/FloatProtocol/status/1482184042850263042

https://medium.com/vesperfinance/on-the-vesper-lend-beta-rari-fuse-pool-23-exploit-9043ccd40ac9

DefiDollar發現潛在攻擊

1月8日DefiDollarFinance(

漏洞本身雖然嚴重但成因并不復雜,比較有意思的是官方的修復方式。由于合約本身不支持升級,因此無法直接更新合約代碼;合約不支持暫停,因此也沒法用快照+遷移的方式轉移用戶資產。最終官方的措施是自己發動了攻擊交易,將所有受漏洞影響用戶的資產轉移到了一個多簽錢包中。待后面部署新Token合約后會再行分配。

CoboComment

ERC20Token已經有比較成熟的代碼模板,wxBTRFLY是在重寫transferFrom時出現的問題。這個問題如果有完善的單元測試應該會很容易發現,項目方可能在開發過程中是缺少完善的測試流程。

Reference

https://discord.com/invite/rpkPDR7pVV

https://twitter.com/redactedcartel/status/1482497468713611266?s=20

https://etherscan.io/tx/0xf0e4ccb4f88716fa5182da280abdb9ea10ec1c61cfc5bbe87e10bdde07c229d6

Qubit跨鏈橋被攻擊

1月28日,BSC上的DeFi平臺QubitFinance的跨鏈橋QBridge遭受攻擊,損失約8000萬美金。

跨鏈橋一種常見的實現形式是在源鏈的合約中抵押資產,并emitevent。由監聽節點捕捉event,向目標鏈的跨鏈橋合約發起調用,mint等量的資產。來源鏈上只要有event事件產生,跨鏈橋系統就會認為有跨鏈資產需要轉移。但如果源鏈上跨鏈橋合約代碼存在問題,就可能出現沒有資產抵押進跨鏈橋合約但仍emitevent的情況,產生漏洞,造成目標鏈Token的錯誤增發。

QBridge就存在這樣的問題。QBridge支持抵押ETH和ERC20Token兩類資產。由于以太坊的ETH作為native代幣,與ERC20Token由兩套單獨的代碼處理。在源鏈抵押Token時,會調用deposit方法,在抵押時ETH應該調用depositETH方法。QBridge將零地址作為ETH的標識。但是實現時沒有完善的校驗,導致合約處理ETH時仍使用deposit方法,相當于將ETH當成了合約地址為零地址的Token處理。在轉賬時使用transferFrom則相當于是對零地址進行合約調用。而以太坊底層設計上,對EOA地址發起合約調用會默認成功,不會revert。以上條件結合起來,最終的情況就是雖然攻擊者在源鏈沒有抵押任何資產,但仍可以在目標鏈上mint出大量qXETH,實現獲利。

CoboComment

目前區塊鏈行業中多鏈并存,跨鏈橋已經是重要的基礎設施。跨鏈橋本身由于要進行鏈上鏈下配合,整體復雜度要比普通dapp高上許多,因此更容易出現問題。同時跨鏈橋上通常會抵押大量的資產,如果可以非法轉移那么獲利頗豐。各個跨鏈橋系統似乎成為了攻擊者們最近一兩月中的重點目標。

Reference

https://mp.weixin.qq.com/s/PLbuI9JFxyFRlDlj9rPvmQ

https://mp.weixin.qq.com/s/-kTsAs2WH5_4N4_3-XIxag

Tags:區塊鏈KENTOKETOK區塊鏈技術適合女生嗎Alanyaspor Fan TokenLunr TokenTxbit Token

Pol幣
加密貨幣:英超、歐足聯、切爾西足球隊正在調查John Terry的NFT版權侵權問題_BTYC

據Cryptodaily1月27日消息,切爾西傳奇球星約翰·特里最近在推特宣傳其NFT,其中包括英超獎杯、歐足聯冠軍聯賽和歐聯杯獎杯的圖片,似乎因此陷入困境.

1900/1/1 0:00:00
數字貨幣:拜登預計將于下周發布關于加密貨幣和CBDC的行政命令_數字貨幣被騙過程噓寒問暖

據報道,白宮最早將于下周發布一項行政命令,指示政府機構研究數字資產領域的不同方面,以創建一個全面的監管框架.

1900/1/1 0:00:00
CAP:巴比特午間要聞一覽_UniCap.finance

1.美國司法部查獲2016年Bitfinex黑客事件中被盜的36億美元比特幣2.福布斯發布“區塊鏈50強”榜單.

1900/1/1 0:00:00
元宇宙:《2022年技術交易和數據隱私報告》節選:智能合約使用案例研究_區塊鏈存證平臺法院

《區塊鏈行業觀察》專欄·第75?篇作者丨Polsinelli 圖片丨來源于網絡 2021年我們見證了什么2021年,人們對區塊鏈技術的興趣、使用和多樣化應用均出現了大幅增長.

1900/1/1 0:00:00
元宇宙:完整的元宇宙產業鏈主要由五大部分構成,各賽道有哪些代表性公司和項目?_L-Dimension

原標題:《人人都在說元宇宙,卻很少人知道這些元宇宙公司和項目》隨著臉書正式易名為META,字節跳動收購VR設備廠商Pico,TheSandbox與游戲大廠Ubsoft合作等.

1900/1/1 0:00:00
CAS:Castle Island Ventures籌集2.5億美元基金,將投資于Web3初創企業_ASH

據彭博社2月16日消息,數字資產公司CastleIslandVentures已籌集2.5億美元資金,將投資于貨幣網絡、金融服務和互聯網架構的初創企業.

1900/1/1 0:00:00
ads