NER:权限问题：Crosswise被黑事件分析_STEAMX价格

作者：

时间：

此次攻击导致协议损失87.9万美元

近日，BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

事件分析

攻击过程如下：

慢雾：ERC721R示例合约存在缺陷，本质上是由于owner权限过大问题:4月12日消息，据@BenWAGMI消息，ERC721R示例合约存在缺陷可导致项目方利用此问题进行RugPull。据慢雾安全团队初步分析，此缺陷本质上是由于owner权限过大问题，在ERC721R示例合约中owner可以通过setRefund Address函数任意设置接收用户退回的NFT地址。

当此退回地址持有目标NFT时，其可以通过调用refund函数不断的进行退款操作从而耗尽用户在合约中锁定的购买资金。且示例合约中存在owner Mint函数，owner可在NFT mint未达总供应量的情况下进行mint。因此ERC721R的实现仍是防君子不防小人。慢雾安全团队建议用户在参与NFTmint时不管项目方是否使用ERC721R都需做好风险评估。[2022/4/12 14:19:58]

修改owner

声音 | 西南财经大学陈文：未来跨链竞合中区块链相关节点权限划分将更为多元:金色财经报道，西南财经大学普惠金融与智能金融研究中心副主任陈文表示，要提高联盟链的参与度，就是要在不伤害金融机构与产业巨头的利益的前提下，同时能够解决一些痛点问题。区块链的应用可以是“大”链也可以是“小”链，但其得到应用的前提是解决利益问题。供应链金融模式本身就是闭环，区块链技术的引入更多是为了防止这个闭环内部的参与方造假，降低内部的道德风险问题。最初的公有链，金融机构和产业主体参与度普遍不高，因为这种去中心的链，去的是金融机构和产业巨头这个中心，但联盟链推出后金融机构和产业巨头的参与度明显提高，因为区块链的应用在不伤害他们的利益的同时能够解决一些痛点问题。在联盟链中区块链相关节点的权限就已经存在差异，并非公有链中完全的平等，在未来的跨链竞合中区块链的相关节点权限划分将更为多元，从而确保在参与方利益得到保障的前提下实现联盟链间的有机整合。[2019/12/14]

声音 | PeckShield安全播报: 敏感权限被控制的EOS账户高达3000多个，波及100万EOS:据早先媒体报道，今日上线的EOS去中心化交易所OneDex存在获取用户敏感权限的高危行为。PeckShield安全人员分析发现，EOS公链上存在多个合约利用用户安全意识的薄弱，获取用户的敏感（Active）权限，可完全操控用户账户并在用户不知情情况下转移全部资产。据PeckShield态势感知平台数据显示：截至目前，EOS公链上Active权限受控制账户高达3,065个，波及近100万EOS。[2018/11/9]

首先设置trustedFowarder，然后通过transferOwnership函数修改owner。该过程中，自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制，导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果，最终使得owner可以被其他用户修改。

声音 | John McAfee：仅拿到底层访问权限没有用:今日，针对Bitfi钱包能够被黑一事，John McAfee继续作出回应称：“黑客生成获得了底层访问权限，但仍无法对程序进行任何编写或更改。这就像拿着牙医证书去核电站工作一样。你能从钱包里拿走钱吗？你不能。这才是关键。”[2018/8/3]