区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > BTC > 正文

PUNK:Cobo区块链安全月报:盘点解析1月典型安全事件_PUN

作者:

时间:

CoboLabs是亚太最大的加密货币托管平台,最受机构欢迎的金融资管服务商Cobo的加密货币研究实验室。我们专注于创新项目,前沿加密数字技术领域,全球市场合规动向,市场基本面及波动因子;旨在帮助市场参与者和加密货币爱好者,降低进入市场的认知门槛。此篇文章由Cobo区块链安全研究团队供稿,团队成员来自知名安全实验室,有多年网络安全与漏洞挖掘经验,曾协助谷歌、微软处理高危漏洞,并获得谷歌、微软等厂商致谢,曾在微软MSRC最有价值安全研究员Top榜单中取得卓越的成绩。团队目前重点关注智能合约安全、DeFi安全等方面,研究并分享前沿区块链安全技术。我们也希望对加密数字货币领域有研究精神和科学方法论的终身迭代学习者可以加入我们的行列,向行业输出思考洞察与研究观点!此篇是CoboLabs的第4篇文章。跨链桥Multichain漏洞1月18日知名跨链桥Multichain发现并修复了一个针对WETH,PERI,OMT,WBNB,MATIC,AVAX共6种代币有重要影响的漏洞。凡对MultichainRouter授权过上述代币的用户均受影响,攻击者可直接利用漏洞转走用户授权的代币。根据19日的官方公告,由于部分用户未及时取消授权,有约445WETH被攻击者盗走。漏洞发生在AnyswapV4Router合约上的anySwapOutUnderlyingWithPermit函数中,由于函数对Token参数的合法性没有校验,攻击者可传入伪造的Token合约来代替原本官方的AnyswapV1ERC20Token。另一方面WETH等代币合约没有实现permit方法但是实现了fallback函数,因此在后续调用permit时不会发生revert,可以继续成功执行下去。最终导致攻击者可以将受害者approve给AnyswapV4Router合约的Token盗走。CoboComment对于普通用户来说,需要特别留意Token无限授权所带来的风险。授权尽可能保证只授权用到的Token数量,而不要使用默认的无限授权,避免节约了gas却丢失了本金。对已有的无限授权要及时撤销,查询账户的授权情况可以使用Etherscan的工具https://etherscan.io/tokenapprovalchecker。Referencehttps://github.com/W2Ning/Anyswap_Vul_Pochttps://theblockbeats.info/news/28774https://hackernoon.com/erc20-infinite-approval-a-battle-between-convenience-and-security-lk60350rBSC上的DEXCrosswise遭攻击1月18日BSC上的DEX项目Crosswise遭受攻击,损失约30万美金,并造成CRSSToken币价闪崩。问题是因MasterChef合约的setTrustedForwarder函数没有正确进行权限校验。当攻击者修改了TrustedForwarder后,可以实现伪造msg.sender的效果,从而直接获取到MasterChef的owner权限。然后再利用owner权限调用set函数设置strategy为攻击者的恶意参数0xccddce9f0e241a5ea0e76465c59e9f0c41727003。修改strategy后通过少量deposit即可withdraw大量的CRSSToken获利。官方公告也承认这个漏洞过于明显,似乎是开发者有意为之,其内部调查后开除了4个开发者。目前已经对链上数据进行了快照,后续将进行重新部署。官方git上已经开始进行整体的代码审计,据称后续会再联合Certik进行审计。CoboComment此次攻击针对的是MasterChef合约,其实不会直接盗取用户的LP或者CRSStoken,但币价大跌还是会让持有CRSS的用户造成实际的损失。查看官方doc上无法找到项目审计报告,此漏洞比较明显,如果经过安全公司审计的话,很大概率可以暴露出来。对于个人投资者来说,未经过审计的项目还需谨慎。Referencehttps://twitter.com/peckshield/status/1483340900398895105https://crosswise.medium.com/post-exploit-update-2a24c3370466https://bscscan.com/address/0x70873211cb64c1d4ec027ea63a399a7d07c4085b#codehttps://github.com/crosswise-finance/crosswise-code-review-1.1Rari#90即FloatProtocolPool遭受预言机操纵攻击1月15日,RariCapital上的90号池即FloatProtocol池遭受预言机操纵攻击。该池使用UniswapV3FLOAT/USDC交易对报价,而在攻击发生之前几天,FLOAT/USDC池中流动性下降,低流动性给了攻击者进行进行预言机操纵攻击的机会。攻击者使用47ETH在池中使用USDC兑换FLOAT,导致FLOAT报价升高。之后再使用FLOAT抵押到Rari#90池中借出其他资产实现获利。攻击手法与2021年11月发生的Rari#23池VesperLendBeta攻击一致。CoboComment对于一些无法使用ChainLink预言机报价的小币种,DeFi合约中通常会使用DEX作报价。目前UniswapV2/V3延时报价虽然可以抵抗闪电贷攻击,但无法抵抗真实的大资产操纵;而TWAP时间加权机制虽然可以在一定程度上提高操纵难度,但只能缓解不能根除。从开发者角度,可以考虑在合约中添加一定风控类代码针对恶意报价进行检查。对普通用户而言,则要留意相关的流动性池,提防价格操纵风险。Referencehttps://twitter.com/FloatProtocol/status/1482184042850263042https://medium.com/vesperfinance/on-the-vesper-lend-beta-rari-fuse-pool-23-exploit-9043ccd40ac9DefiDollar发现潜在攻击1月8日DefiDollarFinance(@defidollar)发推表示在DUSD合约中发现一个潜在漏洞,合约已经暂停,所有资金安全。据称该漏洞可能是使用了区块链监测系统自动发现的。其思路是监测链上Tornado.Cash转账到新地址并部署合约的行为。进一步通过对合约和相关交易的分析来发现潜在的攻击行为,发现问题时将立刻通知相关项目方进行预防。有人已经在Forta上实现了类似的Agent.CoboComment项目方可以考虑类似的方式,通过监测链上的新合约和内存池中的交易,对于可疑的合约或交易可以进行静态分析或模拟执行,检查是否会对自身项目关联合约中的资产有不良影响。随着区块链攻防的升级,可以预见类似的监测告警系统将会越发成熟,当然攻击者也会挖掘到更多bypass监测的攻击方式。在传统安全中攻防持续对抗的局面在区块链安全中也将不断重现。Referencehttps://twitter.com/AndreCronjeTech/status/1479778350084333574https://connect.forta.network/agent/0x2fbec7dcd4eebf34c5b94d899109057eea3642a2400b7143e64873d453b7ba61Raripool#19攻击失败知名区块链安全白帽@samczsun发布了针对Rari#19的预警推文,但后面攻击没有实际发生。攻击手法与前面提到的FloatProtocolRari#90预言机攻击是类似的。攻击者在UniswapV3将约300个ETH兑换成了BED,实现对币价的操纵。由于UniswapV2/V3Oracle都是在第二个区块才会更新币价,使攻击者无法在一个交易内完成对币价的操纵,从而可以对抗闪电贷攻击。而当使用真实的大资金进行操纵时,攻击者则需要至少等待到第二个区块才能看到币价的反应。由于TWAP的存在,通常攻击者还需要多等待几分钟,以使币价变得更加明显。对于此次攻击来说,攻击者也确实是这样做的。然而尴尬的是,在第二个区块出现了疑似套利机器人的存在,此地址在第二个区块立刻将将手中的大量BED兑换成了ETH,维持住了原本币价的稳定。使得攻击者无法继续攻击,并且还要承担swap的gas、手续费与大单交易滑点的损失。CoboCommentUniswapV2/V3Oracle虽然可以抗闪电贷攻击,但是无法直接对抗大资金操纵。因此对于流动性较小的交易对,仍然存在预言机价格被操纵的风险。从攻击者的角度看,要进行对UniswapV2/V3Oracle操纵攻击,需要较高的攻击成本,而且需要保证自己持有市场中大部分所操纵的池子的目标代币,否则就会出现上面的情况,被其他持有目标代币的大户套利,最终偷鸡不成蚀把米。Referencehttps://twitter.com/samczsun/status/1486243806739587076OpenSea前端漏洞@PeckShield发文称OpenSea可能有前端问题,有用户利用该问题获利347ETH。这个漏洞可能与@yakirrotem披露的问题有关。OpenSea的交易架构是:卖家发起listing,这时用户会对报价数据进行签名,表示同意以设置的价格出售其NFT。这个签名数据会保存在OpenSea的链下数据库中,当买家在OpenSea上购买该NFT时,OpenSea会把这个签名数据上链验证,通过后即可完成NFTtransfer,OpenSea也会收取一部分手续费。售出前,卖家也可以取消之前的listing,被cancel的listing会在链上验签时失败,从而不会被出售。这里存在的问题是,OpenSea允许在原有listing不取消的情况下,再次发起listing。这时虽然OpenSeaUI上已经看不到卖家旧的报价,但其实旧的listing依然存在并有效。攻击者可以在https://orders.rarible.com中查询到旧的listing。由于OpenSea的listing并没有交易Nonce机制,旧的listing依然是有效的。攻击者可以通过旧的listing直接购买NFT,并以新的价格售出。由于NFT有剧烈的价格波动,通过这种方式可以实现巨额套利。https://etherscan.io/token/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d?a=9991#inventory就是一例子:1月24日BAYC的NFT在OpenSea上先以0.77ETH买入,又以84.2ETH卖出。CoboComment普通用户建议登录https://orders.rarible.com查询自己是否有旧的listing,并立刻进行取消处理。更稳妥安全的方式是直接将NFT转移到新地址上。Referencehttps://twitter.com/PeckShieldAlert/status/1485547426467364864https://twitter.com/yakirrotem/status/1485559864948629512Metamask泄露个人IP漏洞@alxlpsc在medium上披露称Metamask存在严重的隐私泄露问题。漏洞主要是利用了MetaMask自动加载NFT图片URL。基本的攻击思路:攻击者在可以将NFT的URI设置成自己可控的服务器网址,并将NFTtransfer给目标账户;当用户登录Metamask时,Metamask会自动扫描账户上所拥有的NFT,并发起指向攻击者服务器的HTTP请求;攻击者则可以从访问日志中得到受害者的IP信息。CoboComment区块链的匿名性主要来自链上地址与链下身份的剥离。如果能够通过链上的地址确认链下身份,在区块链场景下确实是比较严重的危害。在传统安全中泄露主机IP通常不被认为是特别严重的问题,但在主张匿名性的区块链世界,隐私的重要程度会再上一个台阶。相信类似的,因安全场景不同而导致漏洞级别不同的情况,在区块链这个相对较新的领域还会不断出现。Referencehttps://medium.com/@alxlpsc/critical-privacy-vulnerability-getting-exposed-by-metamask-693c63c2ce94wxBTRFLY漏洞披露与修复@immunefi的白帽黑客发现了wxBTRFLYToken合约中存在严重漏洞。合约中的transferFrom函数没有正确更新recipient的授权,并且会错误更新msg.sender的授权。漏洞本身虽然严重但成因并不复杂,比较有意思的是官方的修复方式。由于合约本身不支持升级,因此无法直接更新合约代码;合约不支持暂停,因此也没法用快照+迁移的方式转移用户资产。最终官方的措施是自己发动了攻击交易,将所有受漏洞影响用户的资产转移到了一个多签钱包中。待后面部署新Token合约后会再行分配。CoboCommentERC20Token已经有比较成熟的代码模板,wxBTRFLY是在重写transferFrom时出现的问题。这个问题如果有完善的单元测试应该会很容易发现,项目方可能在开发过程中是缺少完善的测试流程。Referencehttps://discord.com/invite/rpkPDR7pVVhttps://twitter.com/redactedcartel/status/1482497468713611266?s=20https://etherscan.io/tx/0xf0e4ccb4f88716fa5182da280abdb9ea10ec1c61cfc5bbe87e10bdde07c229d6Qubit跨链桥被攻击1月28日,BSC上的DeFi平台QubitFinance的跨链桥QBridge遭受攻击,损失约8000万美金。跨链桥一种常见的实现形式是在源链的合约中抵押资产,并emitevent。由监听节点捕捉event,向目标链的跨链桥合约发起调用,mint等量的资产。来源链上只要有event事件产生,跨链桥系统就会认为有跨链资产需要转移。但如果源链上跨链桥合约代码存在问题,就可能出现没有资产抵押进跨链桥合约但仍emitevent的情况,产生漏洞,造成目标链Token的错误增发。QBridge就存在这样的问题。QBridge支持抵押ETH和ERC20Token两类资产。由于以太坊的ETH作为native代币,与ERC20Token由两套单独的代码处理。在源链抵押Token时,会调用deposit方法,在抵押时ETH应该调用depositETH方法。QBridge将零地址作为ETH的标识。但是实现时没有完善的校验,导致合约处理ETH时仍使用deposit方法,相当于将ETH当成了合约地址为零地址的Token处理。在转账时使用transferFrom则相当于是对零地址进行合约调用。而以太坊底层设计上,对EOA地址发起合约调用会默认成功,不会revert。以上条件结合起来,最终的情况就是虽然攻击者在源链没有抵押任何资产,但仍可以在目标链上mint出大量qXETH,实现获利。CoboComment目前区块链行业中多链并存,跨链桥已经是重要的基础设施。跨链桥本身由于要进行链上链下配合,整体复杂度要比普通dapp高上许多,因此更容易出现问题。同时跨链桥上通常会抵押大量的资产,如果可以非法转移那么获利颇丰。各个跨链桥系统似乎成为了攻击者们最近一两月中的重点目标。Referencehttps://mp.weixin.qq.com/s/PLbuI9JFxyFRlDlj9rPvmQhttps://mp.weixin.qq.com/s/-kTsAs2WH5_4N4_3-XIxagCoboLabs希望协助加密世界投资者规避风险、提高收益,为传统金融机构、风险投资公司、通证基金、个人投资者、交易所、媒体等伙伴提供客观、有深度的数据分析。关于亚太最大的加密货币托管及资管平台Cobo:我们向机构提供领先的安全托管与企业资管业务;我们向全球高净值合格投资人提供加密数字钱包业务和丰富灵活的定期与结构化产品,我们关注金融创新,并于2020年第三季度成立了第一家面向全球机构的基金产品「DeFiPro」。

链上数据显示a16z正在逢高出售700万美元的MKR代币:金色财经报道,区块链数据显示,随着加密贷款平台MakerDAO的MKR治理代币价格飙升至近一年高位,Andreessen Horowitz(a16z)正在逢高出售其对MKR治理代币的部分持仓。以太坊区块链监控网站Etherscan显示,约700万美元的MKR已从a16z的加密钱包转移到上周四新创建的地址,新钱包开始每天向加密交易所Coinbase存入1,380枚代币(价值约150万美元),将代币发送到交易所通常表明有意出售。截至周二,从该钱包存入Coinbase的存款总额为610万美元,最新一笔交易发生在北京时间周二10:18?PM。

这些交易发生之际,MKR一度飙升至近一年高点1,200美元以上,此前一项新的代币回购计划启动,减少了代币的供应。该代币目前交易价为1,140 美元。

a16z的加密钱包仍持有12,395MKR(占其流通供应量的1.3%),价值1,400万美元。[2023/7/26 15:58:42]

吴杰庄委员:将数字港元发展成“稳定币”也是解决Web3.0安全风险问题很好的方法:金色财经报道,近年来,区块链技术发展迅速,越来越多的国家和地区开始发展元宇宙和Web3.0(第三代互联网)。港区全国政协委员、香港特区立法会议员吴杰庄近日接受专访时表示,通过打造香港为国际创新科技中心,必能助力国家经济发展再上一个台阶。

对于Web3.0的安全风险问题,吴杰庄直言,除了加强金融监管,将数字港元发展成“稳定币”也是很好的解决方法,相信会有更多国家愿意和我们做这种金融科技的互换,香港有很多企业在网络安全等方面掌握了很先进的技术,我相信未来香港可以更好地协助人民币国际化进程。Web3.0应用场景非常广泛,区块链发展非常快,可以明显发现,现在的区块链项目和实体生活结合越来越紧密。[2023/2/20 12:17:48]

Algorand任命首席运营官W. Sean Ford为新的临时CEO:7月27日消息,继前任首席执行官 Steven Kokinos 离职后,Algorand 于周三任命了一位新的临时首席执行官。 长期员工 W. Sean Ford(前区块链公司的首席运营官)将接替 Kokinos,他将继续担任高级顾问,直到 2023 年年中。在他之前的角色中,Ford 负责产品管理、工程、营销和全球社区发展。[2022/7/27 2:41:40]

MicroStrategy CEO:无论是两年、五年还是十年BTC 都是表现最好的资产:金色财经报道,MicroStrategy首席执行官Michael Saylor在接受采访时表示,公司已经针对其他所有替代方案对其比特币策略进行了回测。当 Microstrategy 在2020年8月比特币暴跌时,公司的比特币战略就完成了。他会考虑购买更多比特币,并称“现在是购买比特币的理想切入点”。Saylor肯定,在任何时间范围内,无论是两年、五年还是十年,BTC 都是表现最好的资产。

Microstrategy 首席执行官进一步表示,持有比特币盈亏点是四年。四年来BTC的移动平均值平均为21,685美元。在比特币投资四年后,没有人会亏本。而四年来 BTC 的简单移动平均线为 21,685 美元。(coingape)[2022/6/16 4:31:16]

声音 | Cobra:想知道真正的金融科技长啥样 看看比特币白皮书:比特币官方论坛Bitcoin.org持有人眼镜蛇Cobra刚刚发布推文称,大多数金融科技公司几乎没有什么真正创新,不过都是建立在数十年前VISA和万事达(Mastercard)后端基础上的看起来不错的应用程序。Cobra称:“想知道真正的金融科技是什么样的吗?去看看比特币白皮书吧。”[2019/11/7]

标签:NFTPUNKPUNCRYPFirst Ever NFTBPUNKSBABYPUNK价格CRYPTO币

BTC热门资讯
AYA:一场「乌托邦」式的胜利:细说虚拟人的三大流派_数字人民币怎么下架了

2021年,元宇宙火了,火得一塌糊涂。从年初的罗布乐思上市,到8月字节收购VR公司Pico,再到脸书更名,大厂的“频繁出击”将虚拟经济之火不断燃到新高度.

ITF:慢雾:美国执法部门破获2016年Bitfinex被盗案件始末分析_MONSTER价格

当地时间周二美国司法部发布公告称,它已经查获了价值36亿美元的比特币,这些比特币与2016年加密 货币 交易所 Bitfinex的黑客事件有关.

PUNK:盘点史上最昂贵的15件NFT作品_GPUNKS20

本文来自微信公众号FastDaily。非同质化代币正在蓬勃发展,NFT艺术品经常在拍卖会上以数百万美元的价格出售。以下是迄今为止最高的交易。 该NFT在佳士得以6900万美元的价格售出.

MOS:图文教程:三分钟学会如何用IBC转账领取Evmos空投_3X Short Cosmos Token

从北京时间3月4日开始,Cosmos生态的EVM兼容链Evmos空投已经开放领取,但由于官方的领取通道还尚未开放,很多小伙伴在问如何才能拿到属于自己的空投。别急,这篇教程会帮助你实现这一目标.

加密货币:纽约时报看DAO:当现实侵入加密乌托邦的愿景_AND

来源:纽约时报加密美联储是一个由加密货币的出现而催生出来的新型公司——某种程度上,它根本不是一家公司。根据其既定的计划,加密美联储没有所有者、管理人员或雇员.

MASK:ETHDenver上5个获奖新项目一览_NFT2$

相关阅读: ETHDenver寻宝:30个获胜项目一览ETHDenver2022刚刚结束,这是全球规模最大的Web3会议,每年都会吸引大量来自世界各地的区块链协议的爱好者.