比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > FTX > Info

慢霧分析Multichain被盜經過,合約一函數未檢查用戶傳入Token的合法性_YIN

Author:

Time:1900/1/1 0:00:00

?Multichain(AnySwap)此前一個影響6個跨鏈Token的關鍵漏洞被利用,導致被盜取445ETH。慢霧安全團隊分析了安全事件經過,

1.用戶可以通過Multichain的AnyswapV4Router合約進行資金跨鏈操作,在進行資金跨鏈時用戶需要將待跨鏈的代幣授權給AnyswapV4Router合約。??

2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函數。此函數允許用戶在鏈下進行授權簽名,鏈上驗證并授權的操作。在此函數中,其會先通過調用用戶傳入的Token地址的underlying函數來獲取underlying代幣地址(正常情況下用戶傳入的Token地址應該是anyToken,獲取underlying代幣應該是用戶要跨鏈的資產,如anyUSDT與USDT),隨后通過underlying代幣的permit函數進行簽名檢查與授權操作,授權完成后通過safeTransferFrom將代幣轉入anyToken合約中,最后通過_anySwapOut觸發事件。??

慢霧:區塊鏈因黑客攻擊損失總金額已超300億美元:金色財經報道,據慢霧統計數據顯示,自2012年1月以來,區塊鏈黑客造成的損失總金額約為30,011,604,576.24美元;黑客事件總數達到1101起。

其中Exchange、ETH Ecosystem、Bridge是在黑客攻擊中損失最大的類別,損失金額分別為10,953,323,803.39美元、3,123,297,416.28美元,2,005,030,543.30美元。另外合約漏洞、Rug Pull、閃電貸攻擊是最常見的攻擊方式,分別發生黑客事件137起,106起,87起。[2023/7/7 22:24:09]

3.但由于anySwapOutUnderlyingWithPermit函數中未檢查用戶傳入的token的合法性,且由于WETH代幣不存在permit函數的同時實現了fallback函數,而permit函數接口也恰好沒有返回值,因此在對WETH合約的permit函數進行調用時是不會拋出錯誤的。攻擊者正是利用此問題構造了惡意的Token地址,使得anySwapOutUnderlyingWithPermit函數獲取的underlying為WETH,將先前有將WETH代幣授權給AnyswapV4Router合約的用戶的WETH直接轉移到攻擊者惡意構造的Token地址中。??

慢霧:2021年上半年共發生78起區塊鏈安全事件,總損失金額超17億美元:據慢霧區塊鏈被黑事件檔案庫統計,2021年上半年,整個區塊鏈生態共發生78起較為著名的安全事件,涉及DeFi安全50起、錢包安全2起,公鏈安全3起,交易所安全6起,其他安全相關17起,其中以太坊上27起,幣安智能鏈(BSC)上22起,Polygon上2起,火幣生態鏈(HECO)、波卡生態、EOS上各1起,總損失金額超17億美元(按事件發生時幣價計算)。

經慢霧AML對涉事資金追蹤分析發現,約60%的資金被攻擊者轉入混幣平臺,約30%的資金被轉入交易所。慢霧安全團隊在此建議,用戶應增強安全意識,提高警惕,選擇經過安全審計的可靠項目參與;項目方應不斷提升自身的安全系數,通過專業安全審計機構的審計后才上線,避免損失;各交易所應加大反洗錢監管力度,進一步打擊利用加密資產交易的洗錢等違規行為。[2021/7/1 0:20:42]

此次主要是由于anySwapOutUnderlyingWithPermit函數未檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。??

聲音 | 慢霧分析:Upbit 可能遭遇了 APT 攻擊:慢霧安全團隊懷疑 Upbit 被盜 34.2 萬 ETH 可能和之前一直在活動的 APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。因為年初 Upbit 就發現來自朝鮮的這類攻擊行為。當然我們也不能排除內鬼可能性。此外,被盜的是 Upbit 的ETH 熱錢包。冷錢包應該暫無風險。[2019/11/27]

參考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d

Tags:ANYSWAPYINETHManySwapQuickswap[New]MONKEYINU價格Ethereal直譯

FTX
元宇宙資本品牌升級正式推出風投基金y2z Ventures_Blok

元宇宙資本于12月13日宣布正式將品牌升級為y2zVentures,主要專注于元宇宙和Web3.0領域投資.

1900/1/1 0:00:00
Bancor 公布V3版本,將通過自動復合獎勵、雙重獎勵等功能降低交易和抵押成本_SIMPLE

去中心化自動做市商協議Bancor今日公布V3版本功能和特性,據稱,此次更新是Bancor迄今為止最大的一次功能更新,改進后的版本將使用戶更便利、更便宜地交易.

1900/1/1 0:00:00
Hester Peirce:美SEC主席的監管議程未能包括對加密貨幣的明確說明_NCE

美國證券交易委員會委員HesterPeirce正在反對該監管機構的議程,因為該議程沒有對數字資產進行明確說明.

1900/1/1 0:00:00
Borderless Capital 推出專注于 Algorand 項目的 5 億美元基金_BOR

據CoinDesk消息,BorderlessCapital將啟動5億美元的ALGOFundII,以幫助開發基于Algorand區塊鏈的項目.

1900/1/1 0:00:00
Coinbase高管:即將推出重大的以太坊擴展改進_OIN

據Cointelegraph報道,Coinbase首席產品官SurojitChatterjee最新發布了其對2022年加密行業的預測,以太坊的可擴展性將會提高,但替代的第1層網絡也將受到關注.

1900/1/1 0:00:00
幣安成為阿根廷國家足球隊贊助商,并即將發行粉絲代幣_NFT

加密交易所幣安周一宣布,幣安將成為阿根廷國家足球隊的主要贊助商和國家足球聯賽的冠名贊助商,為期五年。該公司表示,已經與阿根廷足球協會(AFA)簽署了一項協議.

1900/1/1 0:00:00
ads