8月10日,去中心化年金协议?PunkProtocol遭到攻击,损失890万美元,后来团队又找回了495万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,攻击原因在于投资策略中找到了一个关键漏洞:CompoundModel代码中缺少初始化函数的修饰符的问题,可以被重复初始化。希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
黑客1的两笔攻击交易:
0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281
多名CEX用户存取款地址因恶意插件被黑客地址替换:6月9日消息,据 X-explore 披露,由于恶意浏览器插件,许多用户在中心化交易平台(CEX)的存款和取款地址已经被黑客地址所替换。自 2022 年 6 月以来,已有数百起针对数十家 CEX 的攻击。X-explore 建议用户不要下载并安装未知的浏览器扩展/软件/应用程序,仔细检查电子邮件中的提款和存款地址。[2023/6/9 21:25:38]
0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa
黑客2的两笔攻击交易
慢雾AML与Go+ Security将针对恶意地址库数据方面进行合作:金色财经消息,近日,慢雾AML与Go+ Security达成合作,双方将针对恶意地址库数据方面进行合作。
根据合作协议,慢雾将向Go+ Security提供AML恶意地址库中 EVM 代币的恶意地址数据(主要在 ETH 和 BNB 网络上),Go+ Security的恶意地址数据也会同步到慢雾的地址库中。同时,若是恶意地址数据来自慢雾,Go+ Security 会在接口响应中体现数据来源。
Go+ Security作为Web3的“安全数据层”,通过提供开放、无需许可、用户驱动的安全服务,努力打造“每个人的安全工具”。Go+ Security安全引擎覆盖多条主链,针对加密项目和普通用户进行多维度风险检测,打造更安全的加密生态。[2022/6/8 4:11:22]
0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b
0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1
PeckShield:Etherscan等网站的弹出窗口是由Coinzilla投放的恶意广告,用户可撤销权限:5月14日消息,派盾(PeckShield)监测显示,加密数据网站Etherscan、CoinGecko、DeFiPulse等的弹出窗口是由Coinzilla(加密广告网络)投放的恶意广告,如果用户在浏览它们时与签名请求进行了交互,可使用revoke.cash撤销访问权限。
此前报道,Etherscan、CoinGecko等加密数据网站发生恶意弹窗事件,提示用户连接MetaMask钱包。[2022/5/14 3:15:40]
黑客2的攻击合约地址:
0x00000000b2ff98680adaf8a3e382176bbfc34c8f
动态 | 网络安全公司在Make-A-Wish基金会网站上检测到加密恶意软件:据cointelegraph消息,近日,网络安全公司Trustwave发布的一份报告称,黑客已经通过加密劫持恶意软件感染了全球非营利组织Make-A-Wish基金会的网站。据Trustwave研究人员称,加密恶意软件设法将一个JavaScript(JS)矿工CoinImp纳入域名worldwish.org,以便非法挖掘以隐私为特点的加密货币 Monero(XMR)。与臭名昭着的Monero采矿软件CoinHive类似,CoinIMP据报道利用网站访问者的计算能力挖掘加密货币。
根据该报告,CoinImp脚本通过drupalupdates.tk域感染了该网站,该域与另一个自2018年5月以来利用关键Drupal漏洞破坏网站的广告系列相关联。研究人员指出,最近检测到的活动部署了许多技术来逃避检测,包括改变其已经混淆的域名,以及WebSocket代理中的不同域和IP 。Trustwave联系了Make-A-Wish以报告加密劫持攻击,但基金会没有回应。在Trustwave试图访问基金会后不久,恶意注入的脚本被删除。[2018/11/21]
黑客2的地址:
谷歌广告服务被用于扩散恶意挖矿程序:安全公司TrendMicro在一份新的报告中指出,谷歌的DoubleClick广告服务被用于向欧洲和亚洲的众多用户扩散加密货币恶意挖矿程序。据了解,DoubleClick广告服务也被视频网站YouTube所使用,因此挖矿程序也影响了该网站的众多用户。[2018/1/30]
0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a
0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c
黑客2退回的两笔交易地址:
0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198
0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce
下面以黑客1正式攻击交易为例
黑客的攻击执行了delegateCall,将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。
然后,它执行withdrawToForge函数并将所有资金发送到攻击者的合约。
随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。
链接到forge_的所有CompoundModel都使用相同的代码,因此所有资产都转移到攻击者的合约中。目前,导致黑客入侵的代码已被项目方修补。添加了两个Modifiers,这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。
二、安全建议
本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制,可以被重复初始化。初始化函数应只能调用一次,而且需要进行调用者权限鉴别;如果合约是使用初始化函数,而不是在构造函数中进行初始化,则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵,造成合约关键参数和逻辑的错误。
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。