安全实验室?监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。
攻击涉及基础信息
Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f
浦东:“张江·未来之城SUPER CITY”元宇宙数字孪生未来之城先导区发布:金色财经报道,据浦东发布官方公众号,在9月1日举行的2022世界人工智能大会产业发展全体会议上,“张江·未来之城SUPER CITY”的构想发布,打造张江数字孪生“未来之城”的先导区。该先导区将展现元宇宙数字化产业发展趋势,大量运用元宇宙相关技术,不断往上叠加。同时,作为系统集成的‘牛鼻子’和服务实体经济的‘产业元宇宙’,‘未来之城’将全方位引领科技进步、产业兴旺、安居乐业。[2022/9/2 13:03:50]
攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67
跨链预言机解决方案SupraOracles与NFT链游Oceanland达成合作:据官方消息,跨链预言机解决方案SupraOracles宣布与基于NFT的链游Oceanland达成合作。
Oceanland需要与“玩赚”社区进行互动,并开发一个庞大的虚拟经济,让用户能够优化社区拥有的资产。SupraOracles将提供预言机构建工具和大量数据来开发Oceanland社区,并使Oceanland对用户而言安全可靠。此外,SupraOracles将帮助Oceanland创建跨链桥,以支持多链。[2022/7/7 1:57:31]
黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090
MXC抹茶考核区今日16:30点上线SuperFarm(SUPER):据官方公告,MXC抹茶考核区将于3月25日16:30上线SuperFarm(SUPER) ,开放USDT交易,充值提现已开放。资料显示,SuperFarm是一种跨链DeFi协议,旨在简化NFT资产的发布流程,无需代码。通过市场和创新的工具套件,任何项目都可以使用自定义规则部署挖矿。详情请见公告。[2021/3/25 19:17:21]
攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4
此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。
漏洞利用
为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?
从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。
而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:
总结
本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。