近日,FAIRWIN智能合约存在漏洞这一问题引起各方关注,FAIRWIN作为近日以太坊链上交易量最高的资金盘模式应用,在以太坊链上还存在大量类似的克隆盘,如果存在隐藏漏洞会给公链带来较大风向,因此成都链安安全人员对FAIRWIN智能合约展开了深度分析,分析结果如下:通过对FAIRWIN合约代码进行审计,我们发现其合约存在一个remedy()接口,如果合约owner没有通过close()关闭接口时,该接口可以被任意用户调用,并且可以通过这个接口伪造投注数据,实现“无中生有”,在不使用任何资金的情况下伪造了充值记录,之后攻击者便可以享受分红,或者通过userWithDraw()将余额全部提出。
成都链安:2022年第1季度区块链安全生态造成的损失达到12亿美元:4月20日消息,成都链安统计数据显示,加密行业2022年第1季度安全事件造成的损失达到12亿美元。[2022/4/20 14:36:00]
通过链上记录,我们发现项目方已于2019年7月28日通过closeAct关闭了该接口。通过成都链安Beosin-AML系统分析项目方所有的交易记录,我们进一步分析是否已经存在攻击者插入投注数据成功的情况。通过分析发现,该漏洞已被严重滥用。从十天前到现在为止,陆续有账户尝试调用remedy()接口来插入投注数据,不过由于该操作已被关闭,导致插入数据失败,可以看到插入金额都是几万ETH。插入失败记录:
成都链安:正在追查Ronin攻击事件的资金去向:据成都链安链必应-区块链安全态势感知平台舆情监测显示,Axie Infinity侧链Ronin遭到攻击,17.36万枚ETH和2550万USDC被盗,总金额约合价值为6.15亿美元。在这里,成都链安对此类跨链桥项目给出以下建议:
1.注意签名服务器的安全性;
2.签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;
3.多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;
4.项目方应实时监控项目资金异常情况。[2022/3/30 14:25:56]
通过完整追溯,我们总共发现503条插入成功的交易记录,且插入日期都在项目方关闭接口之前。经统计,这503条交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b发起。
动态 | 成都链安获得前海母基金新一轮融资:金色财经报道,2020年2月,成都链安科技有限公司正式宣布,获得前海母基金新一轮融资,以推动区块链安全事业健康有序发展。此前,成都链安已在2019年12月获得由联想创投、复星高科领投,成创投、任子行战略投资的数千万元融资,以及在2018年3月获得分布式资本的种子轮投资,在2018年9月获得界石资本、盘古创富的天使轮投资。据了解,前海母基金是目前国内商业化募集母基金,截至目前已完成募集规模285亿元。[2020/2/25]
通过统计得出总共插入了5093个ETH,其中包括4711个冻结ETH,382个未冻结ETH。并且攻击者通过插入投注记录设置的500多个小号已经进行过提现操作。
通过进一步分析其合约部署情况发现,在项目方关闭actStu的前一天,也就是2019年7月27日,项目方刚刚部署FAIRWIN合约,在短短一天时间不到之内,项目合约之内便无中生有了5000多个ETH。7月29日,以太坊浏览器显示合约进行了开源。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。