区块见闻 区块见闻
Ctrl+D收藏区块见闻

USHI:雪上加霜 处于“自救期”的SushiSwap是如何被黑客攻击的?_比特币是什么玩意

作者:

时间:

原文:《正处于“刮骨疗”自救的SushiSwap,今日又是如何被黑客攻击的?》

在严峻的财务压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?

2023年4月9日,据BeosinEagleEye态势感知平台消息,SushiswapRouteProcessor2合约遭受攻击,部分对合约授权过的用户资金被黑客转移,涉及金额约1800ETH,约334万美元。

据了解,SushiSwap流动性挖矿项目,克隆自Uniswap,最大的不同是其发行了SUSHI代币,团队希望用SUSHI通证经济模型,优化Uniswap。但Uniswap创始人HaydenAdams表示,Sushi只是任何有能力的开发人员通过一天的努力创造出来的东西,试图利用炒作和Uniswap创造的价值来获利。

火币行情播报 | BTC晚间触底反弹,开始震荡整理:据火币行情显示,BTC昨夜晚间小幅下探前期支撑位,最低下探到10748.01USDT,之后获得了一定的支撑,持续小幅反弹回到10900USDT上方,之后开始了小幅震荡整理,成交量又出现了萎缩的情况,多空双方出现了一定的观望情绪。截至10:00,火币平台的主流币的具体表现如下。[2020/9/18]

其实在本次攻击之前,这个项目还有另外的“坎坷”,去年12月6日,上任仅两个月的Sushi新任“主厨”JaredGrey于治理论坛发起了一项新提案。在该提案中,Jared首次向外界披露了Sushi当前严峻的财务状况,并提出了一个暂时性的自救方案。

正是在这样的压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?

金色晚报 | 8月2日晚间重要动态一览:12:00-21:00关键词:短时暴跌、USDT市值、Bakkt、FBI

1.Tether官方:USDT市值突破110亿美元。

2.报告:97%的对冲基金交易了比特币。

3.全球新冠肺炎确诊病例超1800万例。

4.本周Bakkt比特币月度期货交易额较上周增加204%。

5.FBI披露推特黑客事件侦破细节 Coinbase注册信息暴露黑客身份。

6.V神:以太坊存在的问题在于历史信息的供应商是去中心化的。

7.BTC和ETH短时暴跌 超过10亿美元的头寸被清算。

8.犇睿资本创始人褚康:正确的投资逻辑才能取得更好的投资回报。

9.比特币大幅下跌,日内最高报12106.54美元,最低报10508美元。[2020/8/2]

事件相关信息

我们以其中一笔攻击交易进行事件分析。

金色晚报 | 6月6日晚间重要动态一览:12:00-21:30关键词:南昌、BGIN、PoS Staking、ETH

1. 南昌《产业高质量发展实施方案》:加快区块链等新技术应用。

2. 日本金融厅官网发文介绍三月新成立的区块链组织BGIN。

3. OKEx首席执行官:随着行业的发展,总交易量将增加10倍甚至100倍。

4. PoS Staking项目总锁仓量已接近100亿美金。

5. MakerDAO最新执行投票通过,ETH债务上限提高至1.4亿Dai。

6. 肖风:区块链是人类数字化迁徙重要工具,未来万亿美元公司会是常态。

7. Schall律师事务所正代表EOS投资者调查针对Block.One的诉讼。

8. 美国德州证券委员会对非法加密挖矿投资项目Coinvaultpro实施紧急停止令。

9. 《富爸爸,穷爸爸》作者:投资并且推荐比特币是因为喜欢它。[2020/6/7]

攻击交易

数据:BTC已实现上限达9个月低点:金色财经消息,据Glassnode数据显示,BTC已实现上限刚刚达到9 个月低点,数额为417,750,688,302.10美元。[2022/7/24 2:33:47]

0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8

攻击者地址

0x719cdb61e217de6754ee8fc958f2866d61d565cf

攻击合约

0x000000C0524F353223D94fb76efab586a2Ff8664

被攻击合约

0x044b75f554b886a065b9567891e45c79542d7357

被攻击用户

0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1

攻击流程

1.攻击者地址(0x1876…CDd1)约31天前部署了攻击合约。

2.攻击者发起攻击交易,首先攻击者调用了processRoute函数,进行兑换,该函数可以由调用者指定使用哪种路由,这里攻击者选择的是processMyERC20。

3.之后正常执行到swap函数逻辑中,执行的功能是swapUniV3。

4.在这里可以看到,pool的值是由stream解析而来,而stream参数是用户所能控制的,这是漏洞的关键原因,这里lastCalledPool的值当然也是被一并操控的,接着就进入到攻击者指定的恶意pool地址的swap函数中去进行相关处理了。

5.Swap完成之后,由于此时lastCalledPool的值已经被攻击者设置成为了恶意pool的地址,所以恶意合约调用uniswapV3SwapCallback函数时校验能够通过,并且该函数验证之后就重置了lastCalledPool的值为0x1,导致swapUniV3函数中最后的判断也是可有可无的,最后可以成功转走指定的from地址的资金,这里为100个WETH。

漏洞分析

本次事件攻击者主要利用了合约访问控制不足的问题,未对重要参数和调用者进行有效的限制,导致攻击者可传入恶意的地址参数绕过限制,产生意外的危害。

总结

针对本次事件,Beosin安全团队建议:

1.在合约开发时,调用外部合约时应视业务情况限制用户控制的参数,避免由用户传入恶意地址参数造成风险。

2.用户在与合约交互时应注意最小化授权,即仅授权单笔交易中实际需要的数量,避免合约出现安全问题导致账户内资金损失。

标签:SWAP比特币USHIUSHPantherSwap比特币是什么玩意sushi币局Pushswap

以太坊交易热门资讯
okex:金色观察 | 美国财政部2023年DeFi非法融资风险评估要点速览_TECH

2023年4月7日,美国财政部发布了去中心化金融非法金融风险评估。该评估是对2022年9月美国白宫数字资产框架的回应,白宫数字资产框架特别要求财政部为DeFi提供风险评估.

LAYER:以太坊 Layer2 强势落地 留给Aptos、Sui等新公链的时间不多了?_TOS

作者:大圣Web3 3月份,随着龙头Layer2协议Arbitrum治理ToKen发行和发放掀起社区狂欢,同时相关Layer2生态持续爆火.

马斯克:不只对标OpenAI 马斯克正加速建立“X帝国”_aptos币今日行情

今年二月,马斯克曾公开炮轰OpenAI“违背初心”,并强调“我们需要的是TruthGPT”。时隔两月,马斯克口中的“TruthGPT”,终于即将诞生.

AKA:金色图览 | NFT行业周报(4.02 - 4.08)_HAKA币

周报概要: 1、上周NFT总交易额:397,399,544(美元)2、上周NFT总交易笔数:713,6413、上周NFT总用户数::247.

SWAP:比特币迎“小阳春” 二季度上涨行情会持续吗?_SHI

二季度伊始,加密市场迎来“小阳春”。比推终端数据显示,比特币周一盘中自2022年6月10日以来首次突破29,200美元,24小时涨幅近4%,这是继3月初23,500美元关口之后的一次强劲反弹,与.

比特币:晚间必读 | 全面概述DAO工作组的资金分配现状_比特币是什么时候诞生的

1.金色观察|Nansen:看透加密世界的终极工具区块链分析区块链在现实世界中的使用越来越广泛,区块链分析的重要性也随之增加.