比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

Cobo區塊鏈安全月報:盤點解析1月典型安全事件_HTT

Author:

Time:1900/1/1 0:00:00

CoboLabs是亞太最大的加密貨幣托管平臺,最受機構歡迎的金融資管服務商Cobo的加密貨幣研究實驗室。我們專注于創新項目,前沿加密數字技術領域,全球市場合規動向,市場基本面及波動因子;旨在幫助市場參與者和加密貨幣愛好者,降低進入市場的認知門檻。此篇文章由Cobo區塊鏈安全研究團隊供稿,團隊成員來自知名安全實驗室,有多年網絡安全與漏洞挖掘經驗,曾協助谷歌、微軟處理高危漏洞,并獲得谷歌、微軟等廠商致謝,曾在微軟MSRC最有價值安全研究員Top榜單中取得卓越的成績。團隊目前重點關注智能合約安全、DeFi安全等方面,研究并分享前沿區塊鏈安全技術。我們也希望對加密數字貨幣領域有研究精神和科學方法論的終身迭代學習者可以加入我們的行列,向行業輸出思考洞察與研究觀點!此篇是CoboLabs的第4篇文章。跨鏈橋Multichain漏洞1月18日知名跨鏈橋Multichain發現并修復了一個針對WETH,PERI,OMT,WBNB,MATIC,AVAX共6種代幣有重要影響的漏洞。凡對MultichainRouter授權過上述代幣的用戶均受影響,攻擊者可直接利用漏洞轉走用戶授權的代幣。根據19日的官方公告,由于部分用戶未及時取消授權,有約445WETH被攻擊者盜走。漏洞發生在AnyswapV4Router合約上的anySwapOutUnderlyingWithPermit函數中,由于函數對Token參數的合法性沒有校驗,攻擊者可傳入偽造的Token合約來代替原本官方的AnyswapV1ERC20Token。另一方面WETH等代幣合約沒有實現permit方法但是實現了fallback函數,因此在后續調用permit時不會發生revert,可以繼續成功執行下去。最終導致攻擊者可以將受害者approve給AnyswapV4Router合約的Token盜走。CoboComment對于普通用戶來說,需要特別留意Token無限授權所帶來的風險。授權盡可能保證只授權用到的Token數量,而不要使用默認的無限授權,避免節約了gas卻丟失了本金。對已有的無限授權要及時撤銷,查詢賬戶的授權情況可以使用Etherscan的工具https://etherscan.io/tokenapprovalchecker。Referencehttps://github.com/W2Ning/Anyswap_Vul_Pochttps://theblockbeats.info/news/28774https://hackernoon.com/erc20-infinite-approval-a-battle-between-convenience-and-security-lk60350rBSC上的DEXCrosswise遭攻擊1月18日BSC上的DEX項目Crosswise遭受攻擊,損失約30萬美金,并造成CRSSToken幣價閃崩。問題是因MasterChef合約的setTrustedForwarder函數沒有正確進行權限校驗。當攻擊者修改了TrustedForwarder后,可以實現偽造msg.sender的效果,從而直接獲取到MasterChef的owner權限。然后再利用owner權限調用set函數設置strategy為攻擊者的惡意參數0xccddce9f0e241a5ea0e76465c59e9f0c41727003。修改strategy后通過少量deposit即可withdraw大量的CRSSToken獲利。官方公告也承認這個漏洞過于明顯,似乎是開發者有意為之,其內部調查后開除了4個開發者。目前已經對鏈上數據進行了快照,后續將進行重新部署。官方git上已經開始進行整體的代碼審計,據稱后續會再聯合Certik進行審計。CoboComment此次攻擊針對的是MasterChef合約,其實不會直接盜取用戶的LP或者CRSStoken,但幣價大跌還是會讓持有CRSS的用戶造成實際的損失。查看官方doc上無法找到項目審計報告,此漏洞比較明顯,如果經過安全公司審計的話,很大概率可以暴露出來。對于個人投資者來說,未經過審計的項目還需謹慎。Referencehttps://twitter.com/peckshield/status/1483340900398895105https://crosswise.medium.com/post-exploit-update-2a24c3370466https://bscscan.com/address/0x70873211cb64c1d4ec027ea63a399a7d07c4085b#codehttps://github.com/crosswise-finance/crosswise-code-review-1.1Rari#90即FloatProtocolPool遭受預言機操縱攻擊1月15日,RariCapital上的90號池即FloatProtocol池遭受預言機操縱攻擊。該池使用UniswapV3FLOAT/USDC交易對報價,而在攻擊發生之前幾天,FLOAT/USDC池中流動性下降,低流動性給了攻擊者進行進行預言機操縱攻擊的機會。攻擊者使用47ETH在池中使用USDC兌換FLOAT,導致FLOAT報價升高。之后再使用FLOAT抵押到Rari#90池中借出其他資產實現獲利。攻擊手法與2021年11月發生的Rari#23池VesperLendBeta攻擊一致。CoboComment對于一些無法使用ChainLink預言機報價的小幣種,DeFi合約中通常會使用DEX作報價。目前UniswapV2/V3延時報價雖然可以抵抗閃電貸攻擊,但無法抵抗真實的大資產操縱;而TWAP時間加權機制雖然可以在一定程度上提高操縱難度,但只能緩解不能根除。從開發者角度,可以考慮在合約中添加一定風控類代碼針對惡意報價進行檢查。對普通用戶而言,則要留意相關的流動性池,提防價格操縱風險。Referencehttps://twitter.com/FloatProtocol/status/1482184042850263042https://medium.com/vesperfinance/on-the-vesper-lend-beta-rari-fuse-pool-23-exploit-9043ccd40ac9DefiDollar發現潛在攻擊1月8日DefiDollarFinance(@defidollar)發推表示在DUSD合約中發現一個潛在漏洞,合約已經暫停,所有資金安全。據稱該漏洞可能是使用了區塊鏈監測系統自動發現的。其思路是監測鏈上Tornado.Cash轉賬到新地址并部署合約的行為。進一步通過對合約和相關交易的分析來發現潛在的攻擊行為,發現問題時將立刻通知相關項目方進行預防。有人已經在Forta上實現了類似的Agent.CoboComment項目方可以考慮類似的方式,通過監測鏈上的新合約和內存池中的交易,對于可疑的合約或交易可以進行靜態分析或模擬執行,檢查是否會對自身項目關聯合約中的資產有不良影響。隨著區塊鏈攻防的升級,可以預見類似的監測告警系統將會越發成熟,當然攻擊者也會挖掘到更多bypass監測的攻擊方式。在傳統安全中攻防持續對抗的局面在區塊鏈安全中也將不斷重現。Referencehttps://twitter.com/AndreCronjeTech/status/1479778350084333574https://connect.forta.network/agent/0x2fbec7dcd4eebf34c5b94d899109057eea3642a2400b7143e64873d453b7ba61Raripool#19攻擊失敗知名區塊鏈安全白帽@samczsun發布了針對Rari#19的預警推文,但后面攻擊沒有實際發生。攻擊手法與前面提到的FloatProtocolRari#90預言機攻擊是類似的。攻擊者在UniswapV3將約300個ETH兌換成了BED,實現對幣價的操縱。由于UniswapV2/V3Oracle都是在第二個區塊才會更新幣價,使攻擊者無法在一個交易內完成對幣價的操縱,從而可以對抗閃電貸攻擊。而當使用真實的大資金進行操縱時,攻擊者則需要至少等待到第二個區塊才能看到幣價的反應。由于TWAP的存在,通常攻擊者還需要多等待幾分鐘,以使幣價變得更加明顯。對于此次攻擊來說,攻擊者也確實是這樣做的。然而尷尬的是,在第二個區塊出現了疑似套利機器人的存在,此地址在第二個區塊立刻將將手中的大量BED兌換成了ETH,維持住了原本幣價的穩定。使得攻擊者無法繼續攻擊,并且還要承擔swap的gas、手續費與大單交易滑點的損失。CoboCommentUniswapV2/V3Oracle雖然可以抗閃電貸攻擊,但是無法直接對抗大資金操縱。因此對于流動性較小的交易對,仍然存在預言機價格被操縱的風險。從攻擊者的角度看,要進行對UniswapV2/V3Oracle操縱攻擊,需要較高的攻擊成本,而且需要保證自己持有市場中大部分所操縱的池子的目標代幣,否則就會出現上面的情況,被其他持有目標代幣的大戶套利,最終偷雞不成蝕把米。Referencehttps://twitter.com/samczsun/status/1486243806739587076OpenSea前端漏洞@PeckShield發文稱OpenSea可能有前端問題,有用戶利用該問題獲利347ETH。這個漏洞可能與@yakirrotem披露的問題有關。OpenSea的交易架構是:賣家發起listing,這時用戶會對報價數據進行簽名,表示同意以設置的價格出售其NFT。這個簽名數據會保存在OpenSea的鏈下數據庫中,當買家在OpenSea上購買該NFT時,OpenSea會把這個簽名數據上鏈驗證,通過后即可完成NFTtransfer,OpenSea也會收取一部分手續費。售出前,賣家也可以取消之前的listing,被cancel的listing會在鏈上驗簽時失敗,從而不會被出售。這里存在的問題是,OpenSea允許在原有listing不取消的情況下,再次發起listing。這時雖然OpenSeaUI上已經看不到賣家舊的報價,但其實舊的listing依然存在并有效。攻擊者可以在https://orders.rarible.com中查詢到舊的listing。由于OpenSea的listing并沒有交易Nonce機制,舊的listing依然是有效的。攻擊者可以通過舊的listing直接購買NFT,并以新的價格售出。由于NFT有劇烈的價格波動,通過這種方式可以實現巨額套利。https://etherscan.io/token/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d?a=9991#inventory就是一例子:1月24日BAYC的NFT在OpenSea上先以0.77ETH買入,又以84.2ETH賣出。CoboComment普通用戶建議登錄https://orders.rarible.com查詢自己是否有舊的listing,并立刻進行取消處理。更穩妥安全的方式是直接將NFT轉移到新地址上。Referencehttps://twitter.com/PeckShieldAlert/status/1485547426467364864https://twitter.com/yakirrotem/status/1485559864948629512Metamask泄露個人IP漏洞@alxlpsc在medium上披露稱Metamask存在嚴重的隱私泄露問題。漏洞主要是利用了MetaMask自動加載NFT圖片URL。基本的攻擊思路:攻擊者在可以將NFT的URI設置成自己可控的服務器網址,并將NFTtransfer給目標賬戶;當用戶登錄Metamask時,Metamask會自動掃描賬戶上所擁有的NFT,并發起指向攻擊者服務器的HTTP請求;攻擊者則可以從訪問日志中得到受害者的IP信息。CoboComment區塊鏈的匿名性主要來自鏈上地址與鏈下身份的剝離。如果能夠通過鏈上的地址確認鏈下身份,在區塊鏈場景下確實是比較嚴重的危害。在傳統安全中泄露主機IP通常不被認為是特別嚴重的問題,但在主張匿名性的區塊鏈世界,隱私的重要程度會再上一個臺階。相信類似的,因安全場景不同而導致漏洞級別不同的情況,在區塊鏈這個相對較新的領域還會不斷出現。Referencehttps://medium.com/@alxlpsc/critical-privacy-vulnerability-getting-exposed-by-metamask-693c63c2ce94wxBTRFLY漏洞披露與修復@immunefi的白帽黑客發現了wxBTRFLYToken合約中存在嚴重漏洞。合約中的transferFrom函數沒有正確更新recipient的授權,并且會錯誤更新msg.sender的授權。漏洞本身雖然嚴重但成因并不復雜,比較有意思的是官方的修復方式。由于合約本身不支持升級,因此無法直接更新合約代碼;合約不支持暫停,因此也沒法用快照+遷移的方式轉移用戶資產。最終官方的措施是自己發動了攻擊交易,將所有受漏洞影響用戶的資產轉移到了一個多簽錢包中。待后面部署新Token合約后會再行分配。CoboCommentERC20Token已經有比較成熟的代碼模板,wxBTRFLY是在重寫transferFrom時出現的問題。這個問題如果有完善的單元測試應該會很容易發現,項目方可能在開發過程中是缺少完善的測試流程。Referencehttps://discord.com/invite/rpkPDR7pVVhttps://twitter.com/redactedcartel/status/1482497468713611266?s=20https://etherscan.io/tx/0xf0e4ccb4f88716fa5182da280abdb9ea10ec1c61cfc5bbe87e10bdde07c229d6Qubit跨鏈橋被攻擊1月28日,BSC上的DeFi平臺QubitFinance的跨鏈橋QBridge遭受攻擊,損失約8000萬美金。跨鏈橋一種常見的實現形式是在源鏈的合約中抵押資產,并emitevent。由監聽節點捕捉event,向目標鏈的跨鏈橋合約發起調用,mint等量的資產。來源鏈上只要有event事件產生,跨鏈橋系統就會認為有跨鏈資產需要轉移。但如果源鏈上跨鏈橋合約代碼存在問題,就可能出現沒有資產抵押進跨鏈橋合約但仍emitevent的情況,產生漏洞,造成目標鏈Token的錯誤增發。QBridge就存在這樣的問題。QBridge支持抵押ETH和ERC20Token兩類資產。由于以太坊的ETH作為native代幣,與ERC20Token由兩套單獨的代碼處理。在源鏈抵押Token時,會調用deposit方法,在抵押時ETH應該調用depositETH方法。QBridge將零地址作為ETH的標識。但是實現時沒有完善的校驗,導致合約處理ETH時仍使用deposit方法,相當于將ETH當成了合約地址為零地址的Token處理。在轉賬時使用transferFrom則相當于是對零地址進行合約調用。而以太坊底層設計上,對EOA地址發起合約調用會默認成功,不會revert。以上條件結合起來,最終的情況就是雖然攻擊者在源鏈沒有抵押任何資產,但仍可以在目標鏈上mint出大量qXETH,實現獲利。CoboComment目前區塊鏈行業中多鏈并存,跨鏈橋已經是重要的基礎設施。跨鏈橋本身由于要進行鏈上鏈下配合,整體復雜度要比普通dapp高上許多,因此更容易出現問題。同時跨鏈橋上通常會抵押大量的資產,如果可以非法轉移那么獲利頗豐。各個跨鏈橋系統似乎成為了攻擊者們最近一兩月中的重點目標。Referencehttps://mp.weixin.qq.com/s/PLbuI9JFxyFRlDlj9rPvmQhttps://mp.weixin.qq.com/s/-kTsAs2WH5_4N4_3-XIxagCoboLabs希望協助加密世界投資者規避風險、提高收益,為傳統金融機構、風險投資公司、通證基金、個人投資者、交易所、媒體等伙伴提供客觀、有深度的數據分析。關于亞太最大的加密貨幣托管及資管平臺Cobo:我們向機構提供領先的安全托管與企業資管業務;我們向全球高凈值合格投資人提供加密數字錢包業務和豐富靈活的定期與結構化產品,我們關注金融創新,并于2020年第三季度成立了第一家面向全球機構的基金產品「DeFiPro」。

BitMart將接入Cobo場外托管和清算網絡SuperLoop:2月9日消息,數字資產交易平臺BitMart宣布與數字資產托管平臺Cobo達成合作,將接入Cobo即將發布的交易所場外托管與結算網絡SuperLoop,使BitMart機構用戶能夠在其平臺交易的同時,使用基于多方計算(MPC)技術的協同托管功能來實現對資產的完全掌控。

本次合作將使BitMart的機構客戶能夠利用先進的多方計算(MPC)技術,門限簽名算法TSS(Threshold Signature Scheme)來確保其資產的安全。在該方案中,Cobo和客戶獨立持有各自的私鑰分片,雙方無需分享各自私鑰分片,也無需完整私鑰,就能完成交易簽名。[2023/2/9 11:57:05]

Cobra:讓比特幣看起來更復雜并不是在幫助比特幣:7月24日,Bitcoin.org網站共同所有者Cobra發推稱,有一些比特幣相關產品只會給人一種印象,即運行一個完整的比特幣節點很困難,或者還需要一些特殊硬件。但如果可以運行一個瀏覽器就可以運行一個節點,或者下載Bitcoin Core就能運行,這樣更好。需要指出一點,讓比特幣看起來更復雜并不是在幫助比特幣,因為最終結果只是會減少完整節點。這樣的產品沒有意義。但這些產品仍在不斷迭代推出,而實際上只是在搶錢,且這些硬件產品升級會是一個問題,也不能保證硬件可以跟上比特幣的網絡需求。[2020/7/24]

Cobo錢包與CyberX達成戰略合作,將推期權結構化產品:一站式數字資產存儲與管理平臺Cobo錢包宣布與主經紀商業務CyberX達成長期戰略合作,雙方將共同拓展數字貨幣資管市場的增長機會,面向囤幣用戶推出期權結構化產品等金融服務,并在資源共享、市場拓展等方面展開深度合作。首期合作產品將于7月10日(本周五)上線。

Cobo錢包是業內領先的一站式數字資產存儲和管理平臺之一,目前支持40多種主流數字資產、900多種代幣,并通過Staking增益、幣計劃、套期保值等金融產品為用戶提供資產保值增值服務。

CyberX成立于2016年,致力于打造以區塊鏈為底層架構、以數字資產為標的主經紀商業務。創始團隊來自于高盛、美銀美林、UBS、Citadel、AQR、BlackRock等知名華爾街投行和金融機構,以及谷歌等互聯網公司,在數字貨幣算法交易執行,金融衍生品設計上也早已布局。[2020/7/7]

動態 | 加州法院督促SEC對ICOBox提起違約判決動議:加州中央地方法院法官Dale S. Fischer為證券交易委員會(SEC)設定最后期限,以督促SEC對ICOBox和Nikolay Evdokimov執法。根據法院命令,SEC需在2020年1月10日之前提起違約判決動議。此前9月消息,SEC指控ICOBox及其創始人Nikolay Evdokimov違反美國證券法進行代幣銷售。(FinanceFeeds )[2019/12/13]

聲音 | 眼鏡蛇Cobra:未來互聯網的決定性變化是用區塊鏈技術來替換中心化平臺:眼鏡蛇Cobra今日發推文表示,在未來的5-10年里,互聯網的決定性變化將是用基于區塊鏈技術的替代方案來移除和替換諸如Facebook、Twitter、PayPal、Patreon等中心化的平臺。這是不可避免,無法阻止的。[2018/12/19]

Tags:COBCOMHTTTPSCOBRA價格COMC價格BHTThttps://etherscan.io

以太坊最新價格
遭OpenSea下架,細數「阿貍NFT」的系列離譜操作_END

今日下午,由知名動漫IP阿貍“推出”的熱門NFT項目「Ali&HisFriends」突遭OpenSea下架,其Collections主頁已顯示為頁面丟失,無法訪問.

1900/1/1 0:00:00
Gitcoin CEO詳解為何GitcoinDAO會成為加密世界的王國_COI

KevinOwock:Gitcoin的CEO兼首席機器人專家,系統性地闡述了對GitcoinDAO的過去、現狀、未來的思考.

1900/1/1 0:00:00
Bankless:在DeFi上賺取固定利率收益的5種方法_BANK

管理一個DeFi投資組合是一項積極的工作。你有多少次進入了一個提供超過50%年利率的池子,卻在兩周后發現它已經降到了25%? 這是因為DeFi的許多收益機會仍然依賴于代幣排放和可用的流動性.

1900/1/1 0:00:00
SPAC交易條款更新后,Circle估值翻倍_CIR

Odaily星球日報譯者|念銀思唐在大約六個月的時間里,Circle的估值翻了一番。Circle日前宣布與特殊目的收購公司ConcordacquisitionCorp達成新的交易條款,對Circ.

1900/1/1 0:00:00
詳解雙代幣聲譽系統:如何讓杰出貢獻者「名利雙收」?_TUBE

聲譽系統為平臺提供了一個機會,能夠識別參與者做出的高質量貢獻、并以此激勵更多高質量貢獻,包括內容創作、管理、社區建設以及游戲玩法。這對任何web3項目的成長和可持續發展都至關重要.

1900/1/1 0:00:00
一文盤點2022年值得關注的9個Web3社交項目_WEB

GM!本期主題是Web3social。我們將探討當前的Web3社交領域,包括協議、Web3社交網絡和NFT社交媒體。本文全面介紹了當前正在進行的Web3社交項目.

1900/1/1 0:00:00
ads