權限問題：Crosswise被黑事件分析_STE

此次攻擊導致協議損失87.9萬美元

近日，BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下：

美國參議員：比特幣是政府不能拿走的東西:金色財經報道，美國參議員Cynthia Lummis在接受采訪中談到了比特幣。Cynthia Lummis在討論比特幣的優點時稱，我喜歡它不能被阻止，特別是因為我擔心我們的國家債務以及通貨膨脹。

我看到我家鄉懷俄明州的人們現在去食品銀行，因為他們需要燃料，他們需要汽油才能上班，他們現在必須在高價汽油和食物之間做出選擇。因此，當我們看到通貨膨脹的事情時，當我們看到一美元的價值下降時，當你去雜貨店買一袋食品，而過去同樣的價格買兩袋時，我們真的需要看看那些將長期存在的資產。這就是為什么對我來說，知道比特幣的存在實際上是令人欣慰的。[2022/10/4 18:38:47]

修改owner

曾與碧昂絲、蕾哈娜合作的制作人將操刀BAYC樂隊Kingship新專輯:9月12日消息，環球音樂集團宣布知名制作人James Fauntleroy、Chauncey Hollis Jr和Hit-Boy將為BAYC樂隊Kingship制作新專輯，環球唱片公司NFT樂隊Kingship負責人Celina Joshua稱：只有引進最優秀的創作者、制作人和詞曲作者才有意義。

此前報道，2021年11月12日，環球唱片（Universal MusicGroup）宣布組建數字元宇宙樂隊KINGSHIP，KINGSHIP由3只原始Bored Ape和1只Mutant Ape組成，將于未來推出原創音樂，在元宇宙中表演并發布大量相關NFT收藏品。[2022/9/13 13:25:08]

歐洲區塊鏈秘書長：歐盟可能禁止與美元掛鉤的穩定幣:金色財經報道，歐洲區塊鏈秘書長Robert Kopitsch近日表示，如果歐盟最終敲定新的加密資產市場（MiCA）立法，歐盟可能會在27個國家禁止與美元掛鉤的穩定幣。[2022/8/31 12:59:04]

首先設置trustedFowarder，然后通過transferOwnership函數修改owner。該過程中，自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制，導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果，最終使得owner可以被其他用戶修改。

跨鏈預言機解決方案SupraOracles與NFT鏈游Oceanland達成合作:據官方消息，跨鏈預言機解決方案SupraOracles宣布與基于NFT的鏈游Oceanland達成合作。

Oceanland需要與“玩賺”社區進行互動，并開發一個龐大的虛擬經濟，讓用戶能夠優化社區擁有的資產。SupraOracles將提供預言機構建工具和大量數據來開發Oceanland社區，并使Oceanland對用戶而言安全可靠。此外，SupraOracles將幫助Oceanland創建跨鏈橋，以支持多鏈。[2022/7/7 1:57:31]

由于上一步攻擊者修改了owner，即獲取了owner權限，因此，攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

通過MasterChef合約中的withdraw函數提取了692184.64CRSS.

將CRSS兌換為BNB.

通過Tornado實現混幣，將盜取的BNB轉移到其他賬戶地址

總結：本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞，導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限，最后通過Owner權限竊取了項目中的資金。另外，攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。

安全建議

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。

SharkTeam作為領先的區塊鏈安全服務團隊，為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成，滿足不同客戶需求，獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容，全面保障智能合約安全。

來源：金色財經

Tags：OWNNER區塊鏈STEDOGOWN價格Nerthus門羅幣是什么區塊鏈StepInu

聚幣