此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
Raydium流动性池遭攻击,初步判断为所有者权限被攻击者取代:12月16日消息,据Nansen Portfolio监测,Raydium流动性池遭攻击,已被抽取超 220 万美元 LP 资金,包括 160 万美元 SOL。
对此,Raydium表示,正在调查影响流动性资金池的Raydium漏洞,初步判断是所有者权限被攻击者取代,但目前AMM和挖矿程序的权限已停止。[2022/12/17 21:49:41]
修改owner
SpiritSwap:用户需要撤销当前的inSPIRIT合约权限,但资金没有风险:金色财经消息,Fantom生态去中心化交易协议SpiritSwap发推表示,inSPIRIT合约出现问题,因此需要用户撤销当前的inSPIRIT合约权限,但用户资金没有风险。[2022/3/16 14:00:11]
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
特朗普把“居家隔离令”权限交给州长来决定:美国总统特朗普当地时间4月3日在白宫新冠肺炎疫情简报会上再次表示,他反对发布全国性的“居家隔离令”。当被问及是否赞成美国国家过敏症和传染病研究所主任安东尼·福奇关于所有州实施“居家隔离令”的提议时,特朗普回答称,“我把这个交给州长来决定。州长知道他们要做什么。”(CNN)[2020/4/4]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
币安发布SUB智能合约权限风险提示:币安公告称,经审核仅SUB代币存在项目方超权限风险,我们检查了区块链记录,确认这个权限并未被使用后,与SUB团队及时进行了沟通,SUB确认了这个问题并将提供解决方案。[2018/6/11]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。