CRV:Brahma TopGear (brahTOPG) 项目存在外部调用风险,请迅速取消授权

据慢雾安全团队监测,ETH链上的brahTOPG项目遭到攻击,攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下:

1.攻击者首先查询了受害用户0x392472的余额,接着调用了Zapper合约的zapIn函数。

Abracadabra发布的AIP #13.4提案获得通过:金色财经报道,算法Stablecoin MIM发行方Abracadabra社区发布新提案AIP #13.4,紧急冻结CRV市场清算。提案指出,鉴于CRV目前面临的极端流动性状况,授予Abracadabra DAO接管CRV预言机喂价的权利,也就是冻结CRV的清算,极端情况下由abracadabra DAO接管,以避免级联期间的清算。该提案已获得通过。

金色财经此前报道,Abracadabra社区发布新提案,拟对CRV cauldrons进行利率调整。[2023/8/2 16:13:23]

2.首先函数会为合约转账requiredToken参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。

区块链游戏开发商Animoca Brands 1-4月营收734万美元:NFT游戏The Sandbox和F1 Delta Time的开发商Animoca Brands报告称,在COVID-19疫情期间,该公司2020年前4个月未经审计的收入为734万美元。其中,第一季度营收达到了433万美元,创下了该公司历史最高纪录,4月份的营收更是进一步增长,达到了300万美元。(Cointelegraph)[2020/7/9]

3.接着会调用内部函数zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。

路透社:Facebook将缩减Libra计划:Facebook Inc将缩减其对Libra全球数字货币的计划,暂时不会在自己的服务中使用它。据三位知情人士称,在监管机构的压力下,除了拟议的Libra代币,Facebook已决定为其用户提供政府支持的货币的数字版本,包括美元和欧元。 Facebook仍计划继续推出数字钱包,该数字钱包将允许用户进行购买以及汇款和收款,尽管该数字钱包的推出将推迟数月。Facebook没有立即回应路透社的置评请求。(路透社)[2020/3/4]

4.之后会外部调用假代币合约的approve函数,该函数为攻击者恶意构造,是为了给Zapper合约转账frax代币,此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。

5.最后外部调用了swapTarget参数所指定的合约,并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。

6.攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的USDC代币约889,343枚。

此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-0:926ms