区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

VETH:成都链安:VETH智能合约被攻击事件分析_LUD

作者:

时间:

2020年6月30日下午5:46,Beosin-OSINT威胁情报系统发现VETH智能合约遭受攻击,被盗919299个VETH。成都链安-安全研究团队第一时间对本次事件进行跟踪分析。根据链上交易显示:攻击者利用自建合约通过Uniswap将0.9ETH兑换为138VETH,之后对VETH智能合约发起攻击,在攻击完成后自建合约进行自我销毁。本次攻击成本仅0.9ETH,约合200美元。交易详情如下:

成都链安:2022年第1季度区块链安全生态造成的损失达到12亿美元:4月20日消息,成都链安统计数据显示,加密行业2022年第1季度安全事件造成的损失达到12亿美元。[2022/4/20 14:36:00]

图1在盗币成功之后,攻击者将盗取的VETH通过Uniswap换成了16ETH。如下图所示:

图2具体攻击流程如下:攻击者创建攻击合约,通过Uniswap将0.9ETH兑换成138VETH;调用VETH合约changeExcluded函数,支付128VETH手续费,使mapAddress_Excluded的值为true;调用transferFrom函数,因mapAddress_Excluded的值为true,可以直接进行转账;攻击完成后,攻击者通过Uniswap将盗取的VETH兑换成16ETH。漏洞原理分析

成都链安:BaconProtocol遭受攻击事件分析:据成都链安链必应-区块链安全态势感知平台舆情监测显示,BaconProtocol遭受黑客攻击损失约958,166 美元,关于本次攻击,成都链安团队第一时间进行了分析:1. 本次攻击利用重入漏洞,并凭借闪电贷扩大收益额。2:目前攻击者地址还没有被加入USDC的黑名单中。[2022/3/6 13:40:01]

此漏洞产生的主要原因是changeExcluded函数修饰符为external,使得任何人都可以调用该函数来绕过transferFrom函数内部的授权转账额度检查,将合约的VETH代币盗走。首先分析transferFrom函数,在函数内部先进行!mapAddress_Excluded的判断,按照正常逻辑,该结果为true后,将进行授权转账额度的检查。但是转账函数_transfer的调用放在if语句体外,这就导致攻击者可以通过将mapAddress_Excluded的值设置为true而绕过授权转账额度的检查,直接进行VETH代币转移。transferFrom函数源码如下图所示:

声音 | 成都链安创始人:区块链领域存在六大安全漏洞,全球共损失90亿美元:在2019上海区块链国际周现场,成都链安科技有限公司创始人、电子科技大学副教授杨霞详细分析了行业的六大安全问题。即系统漏洞引起的损失、用户使用不当引起的问题、网络犯罪、暗网黑市交易、,盘和资金盘。根据数据来看,系统漏洞引起的损失,今年以来,由区块链漏洞引起的损失高达30多亿美元。从2011年到2018年损失高达90多亿美元。(华夏时报)[2019/9/17]

声音 | 成都链安:使用链上合约轮询开奖机制可能具有安全风险:今日早晨7点半,成都链安态势感知系统鹰眼对某游戏合约交易发出预警,我们的安全人员对该预警进行分析发现,攻击者正在使用一种新的途径获得随机数种子,并通过合约不断发起延时交易,尝试预先计算或者得到游戏合约的开奖参数,安全团队已通知项目方进行确认,建议具有类似基于线上合约定时开奖模式的项目方及时自查,避免遭到损失。望项目方看到本预警消息能够及时联系我们。[2019/6/12]

图3通过分析修改mapAddress_Excluded值的代码发现,在changeExcluded函数内实现了对其值的修改,且该函数修饰符为external,可供外部调用。changeExcluded函数源码如下图所示:

图4在未对该值进行设置时,mapAddress_Excluded的初始值为false,最后if判断结果为true,进入if语句体,调用_transfer进行转账,要求支付转账金额为:mapEra_Emission/16即128VETH,然后mapAddress_Excluded的值被设置为true。emission的值如下如所示:

图5至此,再配合上面的transferFrom函数,攻击者便可实现仅花费128VETH而将被攻击合约的VETH代币全部转移出去。总结

此次VETH被盗事件,漏洞出自VETH合约而非Uniswap,VETH合约代码的函数访问修饰符的错误使用导致任何人都能绕过授权转账额度的检查,以极低的成本发起攻击。成都链安-安全研究团队在此提醒各大智能合约运营商,在合约正式部署上线前应做好充分的代码审计工作,即使是一些简单的代码错误也会财产损失。

标签:ETHVETVETHLUDETHSHIBVETMESaveTheWorldludos币价格

波场热门资讯
以太坊:妖币「炸弹」复活,Uniswap交易量因UBOMB资金池增长超14倍_BOM

编者按:本文来自链闻ChainNews,撰文:小毛哥,星球日报经授权发布。据DeBank数据显示,去中心化交易协议Uniswap昨日总交易量增长超过14倍,至1.03亿美元.

SIS:比特币高溢价的传说你还信?这家“伊朗交易所”不到两月竟4700BTC_symbiosisfinance币价格

在数字货币领域,有些真假难辨,又以讹传讹的传说,比如伊朗比特币价格的高溢价。你可能常常听到这样的新闻,因为通胀严重,地缘危机等原因,伊朗比特币价格出现远高于其他地区价格的高溢价,这样的新闻时.

SIS:DeFi的局部性的牛市,预示着以太坊公链霸主的地位再次焊牢?_DEFC

编者按:本文来自白话区块链,作者:五火球教主,Odaily星球日报经授权转载。在之前的一篇文章《盘点前3年让许多人真正赚到钱的9大风口,下半年可能有哪些》,我们说过,下半年的风口,目前能够看到的.

VET:供应链金融时代,区块链如何赋能链上安全_SaveTheWorld

纵观人类世界发展,基本都为从点到线,由线到面,由面到体。也就是说不管什么事都需要由一个点到整体的把控。供应链金融的作用就是如此,让人们从根本上把控金融风险发展.

比特币交易所:矿圈生存艰难的一年,区块链第一股已经跳水近80%_比特币最新价格行情

区块链第一股——嘉楠耘智在纳斯达克上市的股票已经跌破2美元,较9美元的发行价已经缩水将近80%,似乎从去年11月下旬一上市股价就开始跌,和当初“上市不是结束,而是开始”的豪言壮语相比.

比特币:星球日报 | 以太坊开发者决定推迟“柏林”硬分叉;纽约数字投资集团旗下一比特币基金募资1.9亿美元_稳定币

头条 纽约数字投资集团完成1.9亿美元的机构比特币基金募资纽约数字投资集团披露其已完成一个1.9亿美元的比特币基金募资.