一、事件簡述
2020-06-18(文中所提及時間均為UTC時間),以太坊上的智能合約BancorNetwork被爆出存在嚴重漏洞。該漏洞由BancorNetwork團隊和白帽最先發現,并第一時間對存在被盜風險的資金進行了轉移,涉及資金50W余美元。
此次事件中,存在漏洞的合約地址主要有如下三個:
0x923cab01e6a4639664aa64b76396eec0ea7d3a5f
0x8dfeb86c7c962577ded19ab2050ac78654fea9f7
0x5f58058c0ec971492166763c8c22632b583f667f
2020-06-183:06:48,BancorNetwork團隊利用此漏洞對存在被盜風險的用戶資金進行轉移,截至2020-06-18?6:56,BancorNetwork團隊共計轉移資金約合$409,656。
另外兩個公開郵箱信息的地址:
0x052ede4c2a04670be329db369c4563283391a3ea
NBA球隊達拉斯獨行俠老板Mark Cuban成為Blocto戰略投資人和顧問:11 月 11 日消息,據官方消息,繼 NBA Top Shot 可以在 Blocto 收藏及交易后,NBA 球隊達拉斯獨行俠老板 Mark Cuban 現已成為跨鏈智能合約錢包 Blocto 的戰略投資人和顧問。
此前報道,今年 10 月,Mark Cuban 在推特上展示自己持有的 NFT,其中包括 CryptoPunks、Hashmasks、Stoner Cats、Bored Ape Yacht Club、Avastart 等 NFT 系列作品。[2021/11/11 6:46:02]
0x1ad1099487b11879e6116ca1ceee486d1efa7b00
也于同一時間利用此漏洞對用戶資金進行轉移,分別轉出資金$131,889和$2346。
到目前為止:
EtherScan已經將存在此漏洞的合約進行標注,如下圖所示
庫幣合約已上線 COMP, WAVES, BAND和ETC永續合約:據 KuCoin (庫幣) 交易所消息,庫幣合約已正式上線 Compound (COMP), Ethereum Classic (ETC), Waves (WAVES), Band Protocol (BAND) 永續合約, 支持1-20倍杠桿, 均以USDT穩定幣結算。
庫幣合約是庫幣自主研發的數字貨幣衍生品平臺,全球排名前十。[2021/4/22 20:46:25]
圖一
BancorNetwork團隊也已對此次事件做出了回應,
詳情見
,
并于UTC時間2020-06-1721:35:53部署了新的BancorNetwork合約,合約地址為
0x2f9ec37d6ccfff1cab21733bdadede11c823ccb0
二、原理分析
加密友好銀行Signature Bank被列入摩根大通推薦產品名單:周二,總部位于紐約的加密友好銀行Signature Bank被加入了摩根大通的推薦產品名單。摩根大通分析師Steven Alexopoulos稱,該銀行“已準備好迎接加密貨幣浪潮”。(Coindesk)[2021/2/9 19:21:22]
漏洞爆出后,成都鏈安安全團隊第一時間對本次事件進行跟蹤分析,根據鏈上分析結果發現,此次事件中漏洞產生的主要原因是智能合約BancorNetwork存在一個調用權限為public的函數safeTransferFrom,通過調用此函數,可以將用戶授權給智能合約BancorNetwork的資金轉出到任意地址。
由源碼可以知,該函數為一個public函數,詳細代碼如下圖所示:
圖二
safeTransferFrom函數內部調用了execute函數。而execute函數的功能是調用safeTransferFrom參數中的_token代幣智能合約的transferFrom函數進行代理轉賬。execute函數源碼如下圖所示:
動態 | 百威啤酒母公司AB InBev與BanQu合作開發區塊鏈系統幫助非洲農民證明其收入:據雅虎財經1月21日消息,百威啤酒品牌背后的公司AB InBev正與BanQu合作開發一個基于區塊鏈技術的的系統,以幫助非洲當地農民證明他們的收入。[2020/1/21]
圖三
我們通過一筆鏈上交易可以清晰的看到調用此函數的具體作用。如地址“0xc802”發起一筆交易,調用了智能合約“0x5f58”的safeTransferFrom函數,使地址”0x8a39”中的0.000000000000000003代幣MFG發送到”0x2955”,具體如下圖所示:
圖四
以上就是本次事件漏洞的原理分析,該漏洞的原理十分簡單,是因為函數的調用權限設置錯誤,將本應該只有合約本身調用的函數,設置成了任何人都可以調用。而當BancorNetwork擁有用戶的授權額度時,任何人都可以通過調用safeTransferFrom函數,以BancorNetwork的身份對用戶的資金進行代理轉賬。
動態 | Bitbank實現“365天24小時”日元轉賬:Coinpost報道稱,日本虛擬貨幣交易所bitbank今日宣布,從10月9日開始,日本一般銀行公司全國銀行資金結算網(簡稱“全銀網”)的金融機構將實現365天24小時全天候實時轉賬。全銀網不僅包括銀行,還囊括已加盟的信用金庫及國內幾乎所有的民間金融機構。轉賬、提款申請的時間是周一至周五(公眾假期除外)15點以前,資金會在一個工作日內到賬。Bitbank表示,該措施將大力提升便利性,此后用戶可在一年365天24小時內的任何時間進行實時轉賬。[2018/10/9]
針對該漏洞,有兩點值得我們進行深入分析:
1.?為什么BancorNetwork合約的safeTransferFrom函數會將權限設置成public。
2.?BancorNetwork合約的主要功能是代幣轉換,并非一個錢包,為什么用戶會有未使用的授權。
對于第一個問題,我們追蹤了safeTransferFrom函數的調用情況,發現safeTransferFrom函數只在handleSourceToken函數中被調用,用于將用戶的代幣轉移到本合約中。handleSourceToken函數源碼如下圖所示:
圖五
既然只是在handleSourceToken函數中調用,那么顯然是沒有必要設置成public權限,且根據業務來看,BancorNetwork的主要作用是用于代幣交換,并不需要用戶主動調用safeTransferFrom,也就沒有必要將safetransferFrom設置為public權限。于是我們對比了合約中其他的幾個函數,這幾個函數均被設置成了public權限。如下圖所示:
圖六
由此,針對第一個問題,我們推測將這些函數設置為public權限可能是因為合約開發人員的疏忽。而目前來看,BancorNetwork團隊新部署的合約也驗證了這個推測。根據鏈上代碼顯示,官方部署的新合約已經將相關函數權限全部進行了更改。具體代碼如下圖所示:
圖七
針對第二個問題,我們跟蹤了漏洞爆出后被轉移資金的地址,發現這些地址在對BancorNetwork授權額度時,往往超過了所需要兌換代幣的數量,且在兌換完成后,并沒有收回額度。如下圖所示:
圖八
“0x624f”開頭的地址對BancorNetwork合約授權了900000000000000個ONG代幣,此額度已經超過了ONG的發行量,相當于將“0x624f”所擁有的ONG代幣全部授權給BancorNetwork合約。而跟蹤“0x624f”開頭地址的交易我們發現,在進行完代幣兌換后,未使用完所有授權額度,但并未將授權額度收回。
綜上所述,我們推測可能是用戶考慮到要隨時使用,為了方便,一次性將所有代幣都授權給了BancorNetwork合約。也可能是BancorNetwork的前端對授權金額設定了默認值。但這種行為存在巨大的風險,一旦智能合約爆發漏洞,資金極易被攻擊者竊取。而在對后續新的BancorNetwork合約進行分析時發現,BancorNetwork團隊和用戶似乎也意識到了此問題存在的巨大風險,并做出了相應的安全防護。如下圖九、十為用戶對新合約的授權情況,對比兩筆線上交易不難看出,兩次授權的時間間隔很短,當用戶成功兌換完代幣后,剩余授權即被收回。
圖九
圖十
三、結語
BancorNetwork本次爆出的漏洞,是一個較為簡單的漏洞,此類漏洞在代碼審計過程中十分容易被發現,但此次漏洞的影響卻很大,上線僅兩天,涉及的資金就已經超過50w美元。幸而BancorNetwork團隊及時發現并修復了漏洞,否則后果不堪設想。成都鏈安-安全研究團隊在此提醒各大智能合約運營商,因區塊鏈合約部署后不可更改的特性,對比傳統軟件,上線前做好充分的代碼審計十分重要,此次事件雖未造成太大的經濟損失,但勢必會讓用戶對BancorNetwork團隊產品的安全性產生質疑。另外也提醒廣大用戶和運營商,在授權資金給第三方合約時,都應保持謹慎,切不可盲目相信“大公司”,對任何合約的授權都應當秉承最小原則,不要使自己的資金安全掌握在他人手中。
Tags:BANBancorORKANClbank交易所官網app下載Bancor Governance TokenOasis NetworkYFIX Finance
一、去中心化是技術 在區塊鏈圈子里,應該沒有人否認去中心化的重要性。比特幣之所以重要,因為它是第一個真正去中心化的貨幣,全世界通用的貨幣,無法被中心化機構摧毀的貨幣.
1900/1/1 0:00:00撰文:OKEx投研 全球新冠確診超千萬例,美國二次疫情愈演愈烈億邦國際納斯達克上市首日破發交易所持有的比特幣總額已創下13個月以來的新低點 熱點新聞 據美國約翰斯·霍普金斯大學發布的實時統計數據.
1900/1/1 0:00:00在線購物巨頭亞馬遜的首席執行官JeffBezos最近創下了財富記錄,他個人財富超過了目前投資于比特幣的所有投機資本.
1900/1/1 0:00:00作者:Chainlink,翻譯:凌杰基于自動做市商的去中心化交易所已被證明是最具影響力的DeFi創新之一。它們可以為一系列不同的代幣創建和運行可訪問的鏈上流動性.
1900/1/1 0:00:00據TheBlock6月23日消息,加密貨幣期權交易平臺Sparrow已在A輪融資中籌集了350萬美元資金.
1900/1/1 0:00:00區塊鏈為什么會在現在如此受重視?僅僅因為它是一門新的互聯網技術嗎?答案是否定的。2008年,比特幣開啟了加密數字資產和區塊鏈的潘多拉魔盒,我們一方面需要厘清比特幣、穩定幣等加密數字資產的風險與挑.
1900/1/1 0:00:00