此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
慢雾:ERC721R示例合约存在缺陷,本质上是由于owner权限过大问题:4月12日消息,据@BenWAGMI消息,ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析,此缺陷本质上是由于owner权限过大问题,在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。
当此退回地址持有目标NFT时,其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数,owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]
修改owner
声音 | 西南财经大学陈文:未来跨链竞合中区块链相关节点权限划分将更为多元:金色财经报道,西南财经大学普惠金融与智能金融研究中心副主任陈文表示,要提高联盟链的参与度,就是要在不伤害金融机构与产业巨头的利益的前提下,同时能够解决一些痛点问题。区块链的应用可以是“大”链也可以是“小”链,但其得到应用的前提是解决利益问题。供应链金融模式本身就是闭环,区块链技术的引入更多是为了防止这个闭环内部的参与方造假,降低内部的道德风险问题。最初的公有链,金融机构和产业主体参与度普遍不高,因为这种去中心的链,去的是金融机构和产业巨头这个中心,但联盟链推出后金融机构和产业巨头的参与度明显提高,因为区块链的应用在不伤害他们的利益的同时能够解决一些痛点问题。在联盟链中区块链相关节点的权限就已经存在差异,并非公有链中完全的平等,在未来的跨链竞合中区块链的相关节点权限划分将更为多元,从而确保在参与方利益得到保障的前提下实现联盟链间的有机整合。[2019/12/14]
声音 | PeckShield安全播报: 敏感权限被控制的EOS账户高达3000多个,波及100万EOS:据早先媒体报道,今日上线的EOS去中心化交易所OneDex存在获取用户敏感权限的高危行为。PeckShield安全人员分析发现,EOS公链上存在多个合约利用用户安全意识的薄弱,获取用户的敏感(Active)权限,可完全操控用户账户并在用户不知情情况下转移全部资产。据PeckShield态势感知平台数据显示:截至目前,EOS公链上Active权限受控制账户高达3,065个,波及近100万EOS。[2018/11/9]
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
声音 | John McAfee:仅拿到底层访问权限没有用:今日,针对Bitfi钱包能够被黑一事,John McAfee继续作出回应称:“黑客生成获得了底层访问权限,但仍无法对程序进行任何编写或更改。这就像拿着牙医证书去核电站工作一样。你能从钱包里拿走钱吗?你不能。这才是关键。”[2018/8/3]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
ChainZArena是MOBOX平台推出的一款休闲卡牌类型的区块链游戏,玩家可以自由搭配阵容、交易卡牌并从中赚取奖励.
在Web3掀起「价值回归用户」的风潮时,虎符快速跟进,它选择开放流动性、供给端入口,支持用户为平台提供交易流动性并赚取手续费收入.
最近Web3突然成为了热点,传统科技行业和新兴区块链行业的领导者带着各自对互联网历史和未来的不同视角,纷纷参与了这场讨论。在具体讨论Web3之前,我们先快速回顾一下这个概念是如何演变的.
头条 ▌白宫将成为加密货币事务处理中心金色财经报道,知情人士透露,拜登政府准备最早下月发布整个政府的数字资产战略,并要求联邦机构评估其带来的风险和机遇.
一文深度拆解,什么是Arweave?Arweave初学者的关键术语,Arweave初学者必不可少的工具,如何上传数据到Arweave?编者按:原文来自Arweave官方介绍.
轰轰烈烈的全球稳定币工程,历时2年半,即将正式落下帷幕。原标题:再见Diem,Facebook的全球支付梦曾经被Facebook寄予厚望的Libra,居然已经到了被卖掉的边缘.