此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
Taiko 已上线 ZK-EVM alpha-2 测试网:3月23日消息,基于 zkRollup 的以太坊二层网络 Taiko 已上线 ZK-EVM alpha-2 测试网“Askja”,向所有开发人员开放以部署智能合约,部分集成了 ZKP 有效性证明,证明者现在无需许可即可生成证明,此外还启用协议经济学,对证明者进行真实奖励以补偿他们的资源消耗,对应的 L1 是以太坊测试网 Sepolia,并部署 Uniswap V2 分叉以支持兑换。[2023/3/23 13:21:25]
修改owner
数据:黄立成过去3天购入35万枚BLUR,均价为0.48美元:金色财经报道,据Lookonchain数据监测,“麻吉大哥”黄立成在过去3天内总计购入35万枚BLUR,平均购买价格为0.48美元。
此前,黄立成在收到185万枚BLUR空投后以0.71美元的价格将所持BLUR全部抛售,本次为他首次购买BLUR代币。[2023/3/14 13:02:45]
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
日本简化加密交易所上币筛选流程新规已生效:12月29日消息,一份文件显示,管理加密交易所的机构周三向成员公司通报了立即生效的新规定,使他们无需经过冗长的预筛选就可以上市代币,除非这些代币是日本市场上的新代币。日本正在放松繁重的加密规则,尽管FTX崩溃的影响继续在整个数字行业及其他领域产生影响。日本政府已将发展Web3市场作为其经济政策的一部分,并可能在明年改变企业税,以帮助加密企业家。
此前10月份消息,日本监管机构计划简化加密货币交易所上币筛选流程,该规则或于12月生效。[2022/12/29 22:14:23]
DeGods#270以7033.3 SOL价格售出,创该系列最高交易记录:9月4日消息,据NFT项目DeGod交易数据显示,DeGod#270已经以7033.3 SOL价格成交,约合22.5万美元,创下该系列迄今最高交易记录,也是截止目前Solana链上售出的最昂贵数字藏品之一。
据Moon.ly数据显示,当前DeGods地板价已升至585 SOL历史高点,24小时涨幅为10.38%,交易总额达到113万枚SOL(超3500万美元)。[2022/9/4 13:07:53]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
美、布两油短线拉升逾1美元:行情显示,美、布两油短线拉升逾1美元,现分别报117.02美元/桶和121.93美元/桶。[2022/5/31 3:51:56]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。