此次攻擊導致協議損失87.9萬美元
近日,BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
事件分析
攻擊過程如下:
ENS推出AI機器人NickGPT以解答與ENS相關的問題:6月5日消息,ENS 宣布推出 AI 機器人NickGPT,目前已部署至 Discord。NickGPT 是基于自定義自然語言模型開發的NickGPT受過ENS文檔訓練,可以回答用戶關于ENS的相關問題。[2023/6/5 21:17:17]
修改owner
首先設置trustedFowarder,然后通過transferOwnership函數修改owner。該過程中,自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制,導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果,最終使得owner可以被其他用戶修改。
數據:一未知地址將價值約1074萬美元的SOL轉至Coinbase:金色財經報道,據Whale Alert監測,537,352枚SOL(價值約1074萬美元)從一未知地址轉至Coinbase。[2023/3/14 13:03:15]
由于上一步攻擊者修改了owner,即獲取了owner權限,因此,攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。
BitMEX因計算平臺平臺問題進行臨時維護:9月21日消息,BitMEX宣布,由于計算平臺相關的問題導致系統出現連接問題,于今天21:05進入維護模式。所有資金都保持安全,BitMEX正在盡快修復。[2022/9/21 7:11:48]
嘉善縣召開國家區塊鏈創新應用試點建設推進會:金色財經消息,近日,嘉善縣召開國家區塊鏈創新應用試點(嘉善縣“區域協同萬事通”重大應用場景)建設推進會。[2022/7/22 2:30:47]
通過MasterChef合約中的withdraw函數提取了692184.64CRSS.
將CRSS兌換為BNB.
通過Tornado實現混幣,將盜取的BNB轉移到其他賬戶地址
總結:本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞,導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限,最后通過Owner權限竊取了項目中的資金。另外,攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。
安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。
來源:金色財經
撰文:FootprintAnalytics分析師Sabrina 日期:2022年1月 數據來源:FootprintAnalytics這篇文章是我們年度回顧系列的一部分.
1900/1/1 0:00:00移動支付網消息:近日,中國人民銀行數字貨幣研究所下屬深圳金融科技研究院更新了2022年的招聘信息.
1900/1/1 0:00:00BILL,全名BillCode,是BlockLAB區塊鏈研究中心的主要開發項目,團隊由世界級科技巨頭合作成立。BillCode致力于將區塊鏈技術完美的運用到多個行業領域,將能源利用率最大化.
1900/1/1 0:00:00作為NFT愛好者,每當有知名IP爆款或新品上線Mint時,我和我的小伙伴總是第一時間沖在前線。Mint后,大多NFT都會以盲盒形式存在數天才會開盒.
1900/1/1 0:00:00SecretNetwork之前是一個建立在以太坊上的第二層隱私解決方案,前身是構建于2017年的「Enigma」.
1900/1/1 0:00:00點擊上方“藍色字”可關注我們!暴走時評:俄羅斯央行要求加強正在進行的加密貨幣支付禁令,并尋求引入懲罰措施.
1900/1/1 0:00:00