據JetProtocol官方博客披露,他們近期修復了一個賞金漏洞,這個漏洞會導致惡意用戶可以提取任意用戶的存款資金,慢霧安全團隊對此漏洞進行了簡要分析,并將分析結果分享如下。
相關信息
JetProtocol是運行在Solana上的一個借貸市場,用戶可將賬號里的代幣存入金庫,賺取年化收益,同時也可以按一定的比例借出另一種代幣。在這個過程中合約會給用戶一個note憑證,作為用戶未來的提款憑證,用我們熟悉的字眼來說就是LP,而本次漏洞發生的原因也和這個LP的設計有關。
我們知道和以太坊合約相比,Solana合約沒有狀態的概念,取而代之的是賬號機制,合約數據都存儲在相關聯的賬號中,這種機制極大提升了Solana的區塊鏈性能,但也給合約編寫帶來了一些困難,最大的困難就是需要對輸入的賬號進行全面的驗證。JetProtocol在開發時使用了Anchor框架進行開發,Anchor是由Solana上的知名項目Serum團隊開發的,可以精簡很多賬號驗證及跨合約調用邏輯。
Supremacy:權志龍發行的NFT系列存在已披露的CVE-2022-38217通用漏洞:3月22日消息,據 Web3 安全機構 Supremacy 監測,韓國歌手權志龍名下品牌 PEACEMINUSONE(PMO)NFT 系列存在之前披露的 CVE-2022-38217 通用漏洞,不能排除被黑客使用過的可能。[2023/3/22 13:19:34]
Anchor是如何工作的呢?我們可以從JetProtocol的一段代碼說起:
programs/jet/src/instructions/init_deposit_account.rs
這里的deposit_account賬號就是用于存儲LP代幣數據的賬號,用戶在首次使用時,需要調用合約生成該賬號,并支付一定的存儲費用。
以太坊客戶端Prysm已通過慢霧安全審計:發現2個低風險和1個建議漏洞:金色財經報道,慢霧(SlowMist)宣布已正式完成了對以太坊共識層客戶端 Prysm 的安全審計服務,發現了2個低風險和1個建議漏洞,目前問題已得到解決,并由審計人員再次審查并通過。Prysm是當前用戶規模最大的以太坊客戶端,目前有超過 42% 的驗證節點都在使用 Prysm 驗證交易,由以太坊核心開發團隊 Prysmatic Labs 開發。[2023/2/23 12:23:48]
而這里的?#?宏定義限定了這個賬號的生成規則:
規則1:#這個約束中,init是指通過跨合約調用系統合約創建賬號并初始化,payer=depositor意思是depositor為新賬號支付存儲空間費用。
規則2:#這個約束中將檢查給定帳戶是否是當前執行程序派生的PDA,PDA(ProgramDerivedAddress)?賬號是一個沒有私鑰、由程序派生的賬號,seed和bump是生成種子,如果bump未提供,則Anchor框架默認使用canonicalbump,可以理解成自動賦予一個確定性的值。
加密KOL:Mango Markets攻擊者曾使用虛假KYC進行漏洞攻擊:12月29日消息,加密KOL@oilysirs披露,Mango Markets攻擊者Avraham Eisenberg曾使用虛假的烏克蘭女性的身份進行KYC,并以此進行Mango Markets的漏洞攻擊。
此外,Zhu Su也轉推表示,此前看好FTX的原因就在于,人們低估了FTX上虛假KYC的交易用戶占比,因為這些虛假KYC用戶根本沒有辦法進行索賠。[2022/12/29 22:14:00]
使用PDA,程序可以以編程方式對某些地址進行簽名,而無需私鑰。同時,PDA確保沒有外部用戶也可以為同一地址生成有效簽名。這些地址是跨程序調用的基礎,它允許Solana應用程序相互組合。這里用的是"deposits"字符+?reserve?賬號公鑰+?depositor?賬號公鑰作為?seeds,bump?則是在用戶調用時傳入。
57%加密資產提供商的KYC流程存在漏洞:Ciphertrace的最新報告研究了加密貨幣監管對銀行的影響。該報告指出,57%的加密資產服務提供商(VASPs)的KYC身份認證流程薄弱或漏洞百出。這構成了很大的威脅,因為薄弱的KYC可能導致不良行為者通過交易所利用虛擬資產進行洗錢。(AMBCrypto)[2020/6/28]
規則3:#
這是一個SPL約束,用于更簡便地驗證SPL賬號。這里指定deposit_account賬號是一個token賬號,它的mint權限是deposit_note_mint賬號,authority權限是market_authority。
Account的宏定義還有很多,這里略表不提,詳細可以考慮文檔:https://docs.rs/anchor-lang/latest/anchor_lang/derive.Accounts.html
動態 | EOS五周內解決42個漏洞問題 獎勵黑客近35萬美元:據Daily Hodl報道,自6月初EOS宣布了漏洞獎勵計劃以來,已經有42個EOS網絡漏洞被修復,參與黑客已獲得34.8萬美元獎勵。EOS對重大漏洞的獎勵從5000到1萬美元不等。[2018/7/10]
有了這些前置知識,我們就可以直接來看漏洞代碼:
programs/jet/src/instructions/withdraw_tokens.rs
正常情況下,用戶調用函數withdraw_tokens提幣時,會傳入自己的LP賬號,然后合約會銷毀他的LP并返還相應數量的代幣。但這里我們可以看到deposit_note_account賬號是沒有進行任何約束的,用戶可以隨意傳入其他用戶的LP賬號。難道使用別人的LP賬號不需要他們的簽名授權嗎?
通過前面分析宏定義代碼,我們已經知道了market_authority賬號擁有LP代幣的操作權限,確實不需要用戶自己的簽名。那么market_authority又是一個怎么樣的賬號呢?我們可以看這里:
programs/jet/src/instructions/init_market.rs
這個market_authority也是一個PDA賬號。也就是說合約通過自身的調用就可以銷毀用戶的LP代幣。那么對于惡意用戶來說,要發起攻擊就很簡單了,只要簡單地把deposit_note_account賬號設置為想要竊取的目標賬號,withdraw_account賬號設置為自己的收款賬號,就可以銷毀他的LP,并把他的存款本金提現到自己的賬號上。
最后我們看一下官方的修復方法:
補丁中并未直接去約束deposit_note_account賬號,而是去除了burn操作的PDA簽名,并將authority權限改成了depositor,這樣的話用戶將無法直接調用這里的函數進行提現,而是要通過另一個函數withdraw()?去間接調用,而在withdraw()?函數中賬號宏定義已經進行了嚴密的校驗,惡意用戶如果傳入的是他人的LP賬號,將無法通過宏規則的驗證,將無法通過宏規則的驗證,因為depositor需要滿足signer簽名校驗,無法偽造成他人的賬號。
programs/jet/src/instructions/withdraw.rs
總結
本次漏洞的發現過程比較有戲劇性,漏洞的發現人@charlieyouai在他的個人推特上分享了漏洞發現的心路歷程,當時他發現burn的權限是market_authority,用戶無法進行簽名,認為這是一個bug,會導致調用失敗且用戶無法提款,于是給官方提交了一個賞金漏洞,然后就去吃飯睡覺打豆豆了。
而后官方開發者意識到了問題的嚴重性,嚴格地說,他們知道這段代碼沒有無法提現的漏洞,而是人人都可以提現啊,老鐵,一個能良好運行的bug你知道意味著什么嗎?!所幸的是沒有攻擊事件發生。
目前在Solana上發生過多起黑客攻擊事件均與賬號校驗問題有關,慢霧安全團隊提醒廣大Solana開發者,注意對賬號體系進行嚴密的審查。
3月24日消息,全球最大資管公司貝萊德首席執行官LarryFink表示,俄烏沖突或加速數字貨幣成為國際結算工具的進程,因為這場沖突顛覆了過去30年的全球化進程.
1900/1/1 0:00:00世界都在為加密而沸騰,DeFi熱潮退去后,更多的關注使NFT市場逐步走向成熟,作為一名nerds或者未來可能成為一名NFT愛好者的你,隨著NFT項目的普及,是不是越是深入接觸了解.
1900/1/1 0:00:00扎克伯格也來挑戰「光劍變裝」了。你以為是這樣的?NoNoNo! 小扎沒有唐藝昕那樣的炫酷,倒是多了幾分滑稽。右手背后藏劍,左手亮劍:一瓶BBQ蘸汁.
1900/1/1 0:00:00Web3旨在賦予網絡中的任何參與者自治的權力和控制權,但要去除中介,我們需要將網絡層與應用層分開的方法,進入數據中心。社會已經變得依賴數據,我們的經濟正日益成為數據經濟.
1900/1/1 0:00:00摘要:元宇宙是以數據和算力為依托,融合顯示技術、區塊鏈技術和人工智能技術于一體的,擁有獨立社交環境、全真體感和獨立經濟體系的相對獨立于現實世界的虛擬世界.
1900/1/1 0:00:00摘要:隨著更大、更成熟的參與者和機構進入這個領域,DAO的收購頻率將會增加。我們將通過幾個最近的例子和一個假設的例子,即惡意收購LidoDAO(LDO)以及隨后對Lido流動性質押池的吸血鬼攻擊.
1900/1/1 0:00:00