TAT:小缺陷大损失 ，GYM Network何至于此 ？-ODAILY_gram币未来前景

前言

北京时间2022年6月8日，知道创宇区块链安全实验室自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击，损失包括7475枚BNB，共计约216W美元，目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊，2000枚BNB利用BSC-Tornado进行混币，余下3000枚BNB在攻击者地址。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

被攻击合约：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

AAX已删除Youtube频道和Facebook账号:11月28日消息，加密货币交易所AAX已删除Youtube频道、Facebook账号。目前官方推特账号仍然正常。

据此前报道，11月19日，加密货币交易所AAX发布公告称，在过去的一周内会见50多名投资者，其中部分进入谈判阶段，乐观估计AAX有机会在未来几周内获得足够的资金并恢复正常运营。

此前AAX表示正进行融资以恢复服务，如果融资失败将启动法律程序以确保资产的分配。[2022/11/28 21:06:51]

攻击者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

AAX已于近日上线合约止损止盈功能:据官方消息，为进一步提升交易用户的合约交易体验，AAX交易所已于近日上线合约止损止盈功能，用户现在可以在合约交易和币币交易中设置止损（SL）和止盈（TP）。更多详情请至AAX官网查询。[2020/7/29]

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制，导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押：

AAX CEO Thor Chan：平台100%合约收入用于AAB回购和销毁:数字资产交易平台AAX CEO Thor Chan在东八区AMA中表示，其平台通证AAB将于4月14日晚八点和4月15日晚八点进行两轮折扣认购。作为由伦敦证券交易所技术驱动的交易平台，AAX将100%合约收入用于每日回购和销毁AAB。AAB 不仅具有通证属性，也是AAX交易所的重要组成部分，同时AAB还将与AAX推出的一系列创新金融产品如指数衍生品、证券型代币等进行深度融合。[2020/4/13]

对于应该开放给用户的质押内部函数是_deposit函数，该函数实现了对于token的审批传入，如下图所示：

声音 | AAX CEO：在加密货币领域未来能够看到一些融合与创新:金色财经讯，伦敦时间11月27日晚，中国时间28日凌晨，伦敦证券交易所举办的官方发布会上，AAX CEO Thor Chan表示，在加密货币领域未来能够看到一些融合与创新，并且能够看到加密市场增长的潜在增长空间。目前AAX已在马耳他金融服务管理局(MFSA)注册，并且正寻求在全球更多司法管辖区注册。AAX的机构客户分为几大类：首先是一些被称为加密专家的相对早期的入场者，他们有着占主导地位的加密货币投资组合，同时可能在传统金融市场也非常有经验；另外一些他们机构专注于传统金融市场，他们或正处在建立加密货币交易平台的阶段，或已有加密货币交易平台。AAX将在后续透露更多信息。[2019/11/28]

数据：ENS域名成交总额超1亿美元:7月21日消息，据NFTGo.io数据显示，ENS域名成交总额已突破1亿美元，截至目前达到1.0005亿美元，市值为6922万美元。过去24小时ENS交易额为522,556.20美元，增幅为20.08%。[2022/7/21 2:28:56]

对应的_autoDeposit函数则实现了"特权"质押，即不需要转入Token进行质押。同时该函数直接暴露给了用户，函数对比如下：

攻击流程

攻击者为了防止链上MEV和抢跑机器人，将合约进行了分步部署执行，同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离，以其中一笔部署调用为例：

1.部署合约后调用depositFromOtherContract实"特权"质押，对应0xfd4a2266方法：

内部调用细节如下:

2.调用0x30649e15实现对上一步特权质押的Token回撤：

3.利用0x1d111d13函数售出获取到的的GYM-Token：

重复多次"特权"质押--回撤--售出步骤，攻击者最终获取到7475枚BNB:

为了抑制抢跑，攻击者将添加质押和回撤进行了步骤分离，两个步骤均为核心操作，同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。

溯源处置

本次攻击原因是项目方实现的特权函数权限控制不当，在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改，为其添加了权限控制：

并在20分钟后对逻辑合约添加了紧急账户处置函数：

而对于项目方Deployer地址分析，其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞，4天前的合约则不存在此函数：

同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago：

攻击者的资金准备(FromTornado)则在约6小时以前，攻击者的身份也值得令人深思。

总结

虽然只是一处小的控制缺陷，却导致了数百万美元的损失。项目方的处置虽较为及时，漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用，各项目方在开发和审计流程上切莫大意。

标签：PUTTHSGRAMTATBitconch Reputation HeatEARTHSHIBgram币未来前景Statter Network

芝麻开门交易所热门资讯