CUR:恶意初始化：Punk Protocol被黑事件分析_RIT

8月10日，去中心化年金协议?PunkProtocol遭到攻击，损失890万美元，后来团队又找回了495万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，攻击原因在于投资策略中找到了一个关键漏洞：CompoundModel代码中缺少初始化函数的修饰符的问题，可以被重复初始化。希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

黑客1的两笔攻击交易：

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

慢雾AML与Go+ Security将针对恶意地址库数据方面进行合作:金色财经消息，近日，慢雾AML与Go+ Security达成合作，双方将针对恶意地址库数据方面进行合作。

根据合作协议，慢雾将向Go+ Security提供AML恶意地址库中 EVM 代币的恶意地址数据（主要在 ETH 和 BNB 网络上），Go+ Security的恶意地址数据也会同步到慢雾的地址库中。同时，若是恶意地址数据来自慢雾，Go+ Security 会在接口响应中体现数据来源。

Go+ Security作为Web3的“安全数据层”，通过提供开放、无需许可、用户驱动的安全服务，努力打造“每个人的安全工具”。Go+ Security安全引擎覆盖多条主链，针对加密项目和普通用户进行多维度风险检测，打造更安全的加密生态。[2022/6/8 4:11:22]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

动态 | 亿邦回应：对方是为躲避欠款的法律责任而恶意举报:金色财经报道，针对被北京朝阳分局立案侦查一事，浙江亿邦、云南亿邦共同发布紧急声明，称公司未有任何人员被带走调查，生产及经营人员稳定，未受影响。亿邦指责对方恶意举报，事实是为了躲避欠款的法律责任。声明表示，若亿邦对众应互联的检举经正在进行的民事审判程序依法认定，众应互联、新彩量公司及其相关责任人，不仅要承担败诉的法律后果，也将因其严重的财务造假行为和信息披露违规遭至中国证监会、江苏省证监局以及深圳证交所的重大行政处罚，并且会导致众应互联股价剧烈波动，造成市场恐慌。因此，其向部门恶意举报浙江亿邦、云南亿邦，动机无非是企图以刑事案件为由干扰民事诉讼审理进程，并逃避监管部门的严厉追责，混淆视听。[2019/12/20]

动态 | 全球超41.5万台路由器感染恶意挖矿软件:据thenextweb报道，研究人员发现，全球有超过41.5万台路由器感染了窃取计算能力并秘密挖掘加密货币的恶意软件。这种攻击仍然在进行中，尤其会对MikroTik路由器产生影响。值得指出的是，被侵入的设备的数量可能稍微有所偏离，因为数据反映了已知已被加密脚本感染的IP地址。尽管如此，受感染路由器的总数仍然很高。[2018/12/5]

黑客2的两笔攻击交易

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

动态 | 慢雾区预警: ETH 存在恶意消耗 Gas 攻击:根据慢雾区情报，慢雾安全团队在 Twitter 上关注到以太坊漏洞问题，通过深入分析发现：如果用户在交易所提币或者通过钱包转账的时候，若没有设置 GasLimit 上限，当接收地址为合约地址的话将会导致恶意 Gas 消耗，慢雾安全团队第一时间通知了服务的交易所和钱包用户并提供了情报和解决方案：

（1）用户提币的时候判断是否是合约地址，如果是合约地址则不允许提币。

（2）转账的时候设置 GasLimit 上限，此处上限需要根据交易所实际业务场景设置如：6 万? - 10 万（推荐值 ETH: 90000 token: 150000）

投资有风险，入市须谨慎。

本资讯不作为投资理财建议。[2018/11/14]

黑客2的攻击合约地址：

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址：

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

黑客2退回的两笔交易地址：

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

下面以黑客1正式攻击交易为例

黑客的攻击执行了delegateCall，将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。

然后，它执行withdrawToForge函数并将所有资金发送到攻击者的合约。

随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。

链接到forge_的所有CompoundModel都使用相同的代码，因此所有资产都转移到攻击者的合约中。目前，导致黑客入侵的代码已被项目方修补。添加了两个Modifiers，这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。

二、安全建议

本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制，可以被重复初始化。初始化函数应只能调用一次，而且需要进行调用者权限鉴别；如果合约是使用初始化函数，而不是在构造函数中进行初始化，则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵，造成合约关键参数和逻辑的错误。

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：CURRITSECECULP-sCurveritestreamSECO币Peculium

屎币热门资讯