ORG:惡意初始化：Punk Protocol被黑事件分析_FORGE

8月10日，去中心化年金協議?PunkProtocol遭到攻擊，損失890萬美元，后來團隊又找回了495萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，攻擊原因在于投資策略中找到了一個關鍵漏洞：CompoundModel代碼中缺少初始化函數的修飾符的問題，可以被重復初始化。希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

一、事件分析

黑客1的兩筆攻擊交易：

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

CZ：不確定Ava Labs惡意競爭是否屬實，Binance不是其競爭對手:8月29日消息，CZ在其社交平臺表示，不確定Ava Labs與律師事務所合作進行惡意競爭的消息是否屬實，Binance甚至不是其競爭對手。

此前Cryptoleaks視頻爆料，Ava Labs向Roche Freedman支付大量Ava Labs股權和AVAX（現價值數億美元），Roche Freedman則針對Binance、Solana Labs和Dfinity Foundation等競爭對手發起惡意訴訟。[2022/8/29 12:54:40]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

聲音 | 文浩：果然被安全圈“黑社會”給惡意碰瓷了:比太錢包創始人、比特派錢包開發者文浩剛剛發朋友圈回應Bitpie錢包安全漏洞事件，文浩稱：“果然被安全圈‘黑社會’給惡意碰瓷了，建議去向bitcoin.org上推薦的所有錢包挨個要保護費，看看能發財不”。今日晚間，區塊鏈安全研究中心BSRC聲稱發現Bitpie錢包安全漏洞。[2018/11/22]

黑客2的兩筆攻擊交易

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

動態 | 調查顯示與數字貨幣犯罪相關的惡意流量一半來自于美國:據bitcoinist消息，安全公司Group-IB最近對全球數字貨幣市場進行了一項研究，重點是黑客和網絡安全。根據該研究，在數字貨幣交換平臺上不斷尋找弱點的50個僵尸網絡中，有一半的惡意流量來自美國，荷蘭份額第二占21.5％。該研究的詳細信息顯示，所有主要平臺的約720個帳戶已被泄露，這個數字比2017年的369個賬戶增加了近100％。最大的受害者群體來源于美國，約占總受害者人數的1/3，俄羅斯和中國緊隨其后。Group-IB特別項目主任Ruslan Yusufov對此表示：“數字貨幣行業的欺詐活動增加、吸引的黑客也越來越多、數字貨幣相關惡意軟件功能的增加、以及大量被盜資金都表明該行業尚未準備好保護自己及其用戶。”[2018/8/7]

黑客2的攻擊合約地址：

Bitflyer交易規定變更“應對惡意用戶”:日本虛擬貨幣交易所Bitflyer開通賬戶之后需要發送郵件，確認本人身份之后才能開始交易，否則無法使用交易賬戶。這是為了防止洗黑錢等犯罪行為。此次變更對策是從本月26日開始實施。之前，不需要郵箱驗證就可以使用賬戶30天。[2018/4/13]

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址：

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

黑客2退回的兩筆交易地址：

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

下面以黑客1正式攻擊交易為例

黑客的攻擊執行了delegateCall，將攻擊者的合約地址寫入到compoundModel中initialize函的forge_參數。setForge(address)函數在初始化函數中執行。這是一個修改Forge地址的功能。

然后，它執行withdrawToForge函數并將所有資金發送到攻擊者的合約。

隨后在調用initialize函數發現forge_參數已經被替換成攻擊者合約的地址。

鏈接到forge_的所有CompoundModel都使用相同的代碼，因此所有資產都轉移到攻擊者的合約中。目前，導致黑客入侵的代碼已被項目方修補。添加了兩個Modifiers，這樣只有ContractCreator可以調用Initialize函數并控制它只被調用一次。

二、安全建議

本次攻擊的根本原因在于CompoundModel合約中缺少對初始化函數的安全控制，可以被重復初始化。初始化函數應只能調用一次，而且需要進行調用者權限鑒別；如果合約是使用初始化函數，而不是在構造函數中進行初始化，則應使用安全合約庫中的初始化器來進行初始化。避免合約被惡意操縱，造成合約關鍵參數和邏輯的錯誤。

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。而作為項目方，智能合約安全關系用戶的財產安全，至關重要！區塊鏈項目開發者應與專業的安全審計公司合作，進行多輪審計，避免合約中的狀態和計算錯誤，為用戶的數字資產安全和項目本身安全提供保障。

Tags：ORGBITFORGEFORCORGI幣bitbull幣有投資價值嗎DeFi ForgeRun For Life

Gate.io