NFT:慢霧：XCarnival NFT借貸協議漏洞分析_ethical怎么記憶

原文作者：九九，慢霧安全團隊

2022 年 6 月 27 日，據慢霧區消息，XCarnival 項目被曝出嚴重漏洞遭黑客攻擊并盜走 3,087 個 ETH（約 380 萬美元）。XCarnival 是一個 ETH 鏈上的 NFT 借貸項目，目前項目團隊正在修復漏洞并承諾會對受影響的用戶提供解決方案。慢霧安全團隊第一時間介入分析，并將結果分享如下：

核心合約地址

P2Controller：

0x34ca24ddcdaf00105a3bf10ba5aae67953178b85

XNFT：

0x39360AC1239a0b98Cb8076d4135d0F72B7fd9909

xToken：

0x5417da20aC8157Dd5c07230Cfc2b226fDCFc5663

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

攻擊者 EOA 地址

0xb7cbb4d43f1e08327a90b32a8417688c9d0b800a

攻擊合約地址

0xf70F691D30ce23786cfb3a1522CFD76D159AcA8d

慢霧：BXH 第一次被盜資金再次轉移，BTC 網絡余額超 2700 BTC:金色財經報道，10月8日凌晨（UTC+8），慢霧監控到 BXH 第一次被盜資金再次出現異動，經慢霧 MistTrack 分析，異動詳情如下：

黑客地址 0x48c9...7d79 將部分資金（213.77 BTCB，5 BNB 和 1 ETH）轉移至新地址 0xc01f...2aef，接著將資金兌換為 renBTC 跨鏈到 BTC 網絡，跨鏈后地址為 1JwQ...u9oU。1JwQ...u9oU 在此次轉移中接收到的總資金為 204.12 BTC。截止目前，BXH 第一次被盜事件在 BTC 網絡共有 4 個黑客地址，總計余額為 2701.3 BTC，暫未進一步轉移。慢霧 MistTrack 將持續監控被盜資金的轉移。[2022/10/8 12:49:28]

0x234e4B5FeC50646D1D4868331F29368fa9286238

慢霧：警惕ETH新型假充值，已發現在野ETH假充值攻擊:經慢霧安全團隊監測，已發現存在ETH假充值對交易所攻擊的在野利用，慢霧安全團隊決定公開修復方案，請交易所或錢包及時排查ETH入賬邏輯，必要時聯系慢霧安全團隊進行檢測，防止資金丟失。建議如沒有把握成功修復可先臨時暫停來自合約地址的充值請求。再進行如下修復操作：1、針對合約ETH充值時，需要判斷內聯交易中是否有revert的交易，如果存在revert的交易，則拒絕入賬。2、采用人工入賬的方式處理合約入賬，確認充值地址到賬后才進行人工入賬。同時需要注意，類以太坊的公鏈幣種也可能存在類似的風險。[2020/5/23]

0x7B5A2F7cd1cc4eEf1a75d473e1210509C55265d8

0xc45876C90530cF0EE936c93FDc8991534F8A6962

動態 | 慢霧：10 月發生多起針對交易所的提幣地址劫持替換攻擊:據慢霧區塊鏈威脅情報(BTI)系統監測及慢霧 AML 數據顯示，過去的 10 月里發生了多起針對數字貨幣交易所的提幣地址劫持替換攻擊，手法包括但不限于：第三方 JS 惡意代碼植入、第三方 NPM 模塊污染、Docker 容器污染。慢霧安全團隊建議數字貨幣交易所加強風控措施，例如：1. 密切注意第三方 JS 鏈接風險；2. 提幣地址應為白名單地址，添加時設置雙因素校驗，用戶提幣時從白名單地址中選擇，后臺嚴格做好校驗。此外，也要多加注意內部后臺的權限控制，防止內部作案。[2019/11/1]

1.攻擊者通過 XNFT 合約中的 pledgeAndBorrow 函數來進行抵押 NFT 并借出 xToken。

在 pledgeInternal 函數中轉入 NFT 并生成訂單：

2. 接著調用 withdrawNFT 函數提取出質押的 NFT，其中首先判斷該訂單是否被清算狀態，如果不是則判斷該訂單的狀態是否為 NFT 還未被提取且借款金額為 0（無負債），如果通過即可提取抵押的 NFT。

3. 以上為攻擊前生成訂單的準備操作，接著攻擊者開始利用生成的訂單直接調用 xToken 合約中的 borrow 函數進行借款。

在 borrowInternal 函數中，會外部調用 controller 合約中的 borrowAllowed 函數來判斷是否可以借款。

可以看到在 borrowAllowed 函數會調用 orderAllowed 函數進行訂單相關信息的判斷，但是在這兩個函數中均沒有進行 _order.isWithdraw 狀態的判斷。因此攻擊者可以利用之前生成的訂單（訂單里的抵押的 NFT 已經被提走）來調用 XToken 的 borrow 函數來借款，而因為抵押的 NFT 在之前已經被提出，故攻擊者可以不用還款來實現獲利。

此處僅展示其中一筆攻擊交易的細節，其余攻擊交易的手法均一致，不再贅述。

攻擊前準備——生成訂單的交易：

0x61a6a8936afab47a3f2750e1ea40ac63430a01dd4f53a933e1c25e737dd32b2f

1. 首先攻擊者將 NFT 轉入攻擊合約并進行授權，接著調用 xNFT 合約中的 pledgeAndBorrow 函數在進行抵押 NFT 生成訂單并借款的操作，此處需要注意一點是該函數可以控制傳入的 xToken，攻擊者傳入了自己構造的 xToken 合約地址，并且讓借款數量為 0，目的是為了滿足后續能成功提出 NFT 時的不被清算且負債為 0 的條件。

2. 攻擊者緊接著調用 withdrawNFT 函數來進行提取抵押的 NFT：

正式攻擊交易：

0x51cbfd46f21afb44da4fa971f220bd28a14530e1d5da5009cfbdfee012e57e35

攻擊者調用 xToken 合約的 borrow 函數，傳入之前生成的訂單的 orderID，重復了該操作 22 次（orderID: 45 - 66），而因為 NFT 在準備階段已經提走，估計無需還款以此來獲利。

本次漏洞的核心在于借款的時候，沒有進行訂單中 NFT 是否被提走的狀態的判斷，導致攻擊者可以在把 NFT 提走之后再利用之前生成的訂單來借款而無需還款，以此來獲利。針對此類漏洞，慢霧安全團隊建議在進行借款操作時應做好訂單狀態中是否已經提走抵押品的判斷，避免再次出現此類問題。

Tags：NFTETHBTCROWNFTinderethical怎么記憶BBTC價格squidgrow幣機制

fil幣價格今日行情