区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

VET:详解VETH智能合约被攻击事件_LUD

作者:

时间:

2020年6月30日下午5:46,Beosin-OSINT威胁情报系统发现

VETH智能合约

遭受攻击,被盗919299个VETH。成都链安·安全实验室第一时间对本次事件进行跟踪分析。

?

根据链上交易显示:

攻击者利用自建合约

通过Uniswap将0.9ETH兑换为138VETH,之后对VETH智能合约

发起攻击,在攻击完成后自建合约进行自我销毁。

本次攻击成本仅0.9ETH,约合200美元。交易

观点:柴犬相关Meme币的上涨不可持续,无需过度解读:金色财经报道,周一,Twitter将网页LOGO图标从蓝鸟更改为DOGE狗狗头像,狗狗币(DOGE)的价格几乎立即飙升,其他几个以柴犬为主题的Meme币也大幅上涨,整个板块平均涨幅为14%。SHIB等大市值代币涨幅达10%,而FLOKI、KISHU和BABYDOGE等小市值代币涨幅达25%。此外,3月份上线的zkSync区块链上的zkDoge和zkShib,涨幅高达100%。

然而,这种上涨不太可能长期持续,一些交易员警告称,这种走势并不预示着更广泛的趋势。

加密货币交易公司Flowdesk首席执行官Guilhem Chaumont表示:“我们不认为这预示着一场长期牛市。恰恰相反,加密市场的上升趋势是有规律的,首先是比特币经历牛市,然后是主要的山寨币,最后是市值较小的代币。[2023/4/6 13:48:07]

详情如下:

网信办:加强对《区块链信息服务管理规定》等法规规章的宣传解读:金色财经报道,中央网络安全和信息化委员会办公室印发《网信系统法治宣传教育第八个五年规划(2021-2025年)》,其中指出要加强对《关键信息基础设施安全保护条例》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《区块链信息服务管理规定》等法规规章的宣传解读。[2021/11/18 6:57:19]

△图1

Gate.io芝麻开门创始人韩林跨海连线顶尖量化团队,深度解读顶级资金安全解决方案:11月7日,Gate.io芝麻开门联合TokenInsight举办的“扬帆三亚,量化未来”为主题的首届海岛穿越赛,顺利闭幕。据官方消息,Gate.io芝麻开门创始人韩林跨海连线,与现场二十余家顶尖量化团队分享了资金安全的顶级解决方案,并深入解读Gate.io在产品规划、技术优势及品牌理念上的独到之处。[2020/11/7 11:56:09]

在盗币成功之后,攻击者将盗取的VETH通过Uniswap换成了16ETH。如下图所示:

动态 | 比特币COT持仓周报解读:Asset Manager账户空头持仓为0 短期维持看多判断:美国商品期货委员(CFTC)今日发布了截止5月7日的交易员持仓报告(COT),报告显示,芝加哥期货交易所(Cboe)比特币期货持仓量共2607手,环比减少103手。杠杆基金多单226手,空单887手,净空头数量为661手。芝加哥商品交易所(CME)比特币期货持仓量为4388手,环比增加75手,杠杆基金多头合约为1941手,空头合约为2692手,净空头合约为751手。上周Ass..[2019/5/11]

△图2

?具体攻击流程如下:

1.攻击者创建攻击合约,通过Uniswap将0.9ETH兑换成138VETH;

2.调用VETH合约changeExcluded函数,支付128VETH手续费,使mapAddress_Excluded的值为true;

3.调用transferFrom函数,因mapAddress_Excluded的值为true,可以直接进行转账;

4.攻击完成后,攻击者通过Uniswap将盗取的VETH兑换成16ETH。

漏洞原理分析

此漏洞产生的主要原因是changeExcluded函数修饰符为external,使得任何人都可以调用该函数来绕过transferFrom函数内部的授权转账额度检查,将合约的VETH代币盗走。

首先分析transferFrom函数,在函数内部先进行!mapAddress_Excluded的判断,按照正常逻辑,该结果为true后,将进行授权转账额度的检查。但是转账函数_transfer的调用放在if语句体外,这就导致攻击者可以通过将mapAddress_Excluded的值设置为true而绕过授权转账额度的检查,直接进行VETH代币转移。transferFrom函数源码如下图所示:

△图3

通过分析修改mapAddress_Excluded值的代码发现,在changeExcluded函数内实现了对其值的修改,且该函数修饰符为external,可供外部调用。changeExcluded函数源码如下图所示:

△图4

在未对该值进行设置时,mapAddress_Excluded的初始值为false,最后if判断结果为true,进入if语句体,调用_transfer进行转账,要求支付转账金额为:mapEra_Emission/16即128VETH,然后mapAddress_Excluded的值被设置为true。emission的值如下如所示:

△图5

总结

此次VETH被盗事件,漏洞出自VETH合约而非Uniswap,VETH合约代码的函数访问修饰符的错误使用导致任何人都能绕过授权转账额度的检查,以极低的成本发起攻击。

成都链安·安全实验室在此提醒:各大智能合约运营商,在合约正式部署上线前应做好充分的代码审计工作,即使是一些简单的代码错误也会财产损失。

标签:ETHVETLUDDEDeth钱包地址生成vet币价格LUD价格Bonded dAMM

波场热门资讯
TIMI:全国首家区块链领域标准化技术委员会成立_元宇宙

7月5日上午,在由杭州市余杭区政府指导,杭州未来科技城管委会、巴比特主办的“拥抱产业新浪潮——2020杭州区块链国际周”现场,浙江省区块链专业标准化技术委员会揭牌成立.

区块链:观点 | 以太坊 Layer-2 方案的现状_MAT

在我们Layer-2系列的第一篇文章里,我们讨论了比特币链下可扩展性方案,也分析了闪电网络和多种侧链方案。当我们把目光转向第二大密码学货币,我们可以看到以太坊也有相当多的链下可扩展性方案.

以太坊:解读 | 从币天销毁读懂数字货币风险_玩比特币的都是什么人啊

来源:Sharpdata风险在量化领域常常被定义为波动率,这与投资人所真正关心的“风险”有所不同,投资人真正关心的是资本永久性的亏损,或者说资产发生下跌产生损失的概率.

EFI:杭州区块链国际周丨朗豫:储备池和借贷是MOV重点发力的方向_vet币怎么样

7月5日下午,在“2020杭州区块链国际周比原链专场—MOVtoANewStableFinancialWorld”活动现场.

COIN:立陶宛2.4万枚LBCoin下周预售,成欧元区首个央行发行的数字货币_lbchain

据路透社报道,立陶宛将在下周开始预售其基于区块链技术的2.4万枚数字货币LBCoin。 这将是欧元区首个由中央银行发行的数字货币,这一举措是该国试点国家支持的数字货币和区块链技术的项目的一部分.

BCO:乘风破浪的Compound被Balancer超越,谁是DeFi的最强王者?_COIN

蓝狐笔记在上个月关注过Balancer,它相当于通用版本的Uniswap,它跟Uniswap的主要区别除了可以自定义流动性池的代币比例之外,还有一个很大的区别就是拥有治理代币BAL.