安全实验室?监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。
攻击涉及基础信息
Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f
BitMart将接入Cobo场外托管和清算网络SuperLoop:2月9日消息,数字资产交易平台BitMart宣布与数字资产托管平台Cobo达成合作,将接入Cobo即将发布的交易所场外托管与结算网络SuperLoop,使BitMart机构用户能够在其平台交易的同时,使用基于多方计算(MPC)技术的协同托管功能来实现对资产的完全掌控。
本次合作将使BitMart的机构客户能够利用先进的多方计算(MPC)技术,门限签名算法TSS(Threshold Signature Scheme)来确保其资产的安全。在该方案中,Cobo和客户独立持有各自的私钥分片,双方无需分享各自私钥分片,也无需完整私钥,就能完成交易签名。[2023/2/9 11:57:05]
攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67
区块链系统Superfluid完成 900 万美元融资,Multicoin Capital领投:区块链系统Superfluid在 Multicoin Capital 牵头的一轮融资中筹集了 900 万美元,Semantic Ventures、DeFiance Capital、Delphi Digital等参投。(coindesk)[2021/7/13 0:49:18]
黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090
SUPER CONSENSUS将开启DeFi生态挖矿:据官方消息,SUPER CONSENSUS将于北京时间4月22日18:00正式开启挖矿。SUPER CONSENSUS基于TRON底层协议搭建的智能合约,打造DeFi去中心化金融“超级共识联盟”金融平台,聚合全球社区力量打造超级共识生态,打造DAO社区自治,用户提供流动性及消费可获得贡献值算力,通过贡献值算力可获得UPS代币。[2021/4/21 20:44:32]
攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4
此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。
漏洞利用
为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?
从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。
而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:
总结
本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
2月11日,YouTube已公布2022年区块链、元宇宙发展计划,这家流媒体巨头认为,数字艺术市场正在膨胀,新兴技术有助于打击欺诈,能为视频游戏内容提供更加社交化的体验.
尊敬的KuCoin合约用户,KuCoin合约已完成系统升级维护,将于2022年2月14日12:50(UTC8)?开放为只撤单,用户可进行撤单、不可挂单.
關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
随着区块链技术的发展及各类新增长的出现,加密货币生态系统随之产生了更多的安全风险及复杂性。2021年攻击全景详见,欢迎点击文章底部“阅读原文”获取安全报告下载链接.
作者|秦晓峰 编辑|郝方舟 出品|Odaily星球日报“一「墩」难求”,这是过去一周喜爱「冰墩墩」的人共同的心声.
親愛的AAX用戶: 為了提供更好的平台體驗,AAX現已更新USDT(TRC20網絡)的提幣手續費.