以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > LTC > Info

GYM:創宇區塊鏈|小缺陷大損失 GYM Network 何至于此

Author:

Time:1900/1/1 0:00:00

前言

北京時間2022年6月8日,知道創宇區塊鏈安全實驗室?自動數據監測工具監測到BSC鏈上NFT項目GYMNetwork因"PublicdepositFromOtherContract"權限控制問題被攻擊,損失包括7475枚BNB,共計約216W美元,目前已將兌通過DEX換70W美元的ETH通過Celer跨鏈到以太坊,2000枚BNB利用BSC-Tornado進行混幣,余下3000枚BNB在攻擊者地址。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

被攻擊合約:0x0288fba0bf19072d30490a0f3c81cd9b0634258a

Gitcoin聯合創始人Kevin Owocki推出ReFi孵化器Supermodular:金色財經報道,Gitcoin聯合創始人Kevin Owocki推出ReFi孵化器Supermodular。Supermodular旨在成為可再生Web3項目的風險工作室。在加密貨幣的牛市期間,數以百萬計的人選擇去中心化金融,而Supermodular希望專注于再生金融項目。ReFi由Owocki和Gitcoin聯合創始人Scott Moore推廣,旨在利用DeFi的優勢,同時顛覆其更具剝削性的屬性。[2023/3/5 12:42:36]

攻擊者地址:0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻擊合約:0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

FuelLabs將在今年對Sway語言進行編譯器優化并支持更多后端:2月21日消息,以太坊模塊化執行層 Fuel 開發商 Fuel Labs 公布將于 2023 年實現的 Sway 語言升級內容,包括字節碼大小方面的編譯器優化、Sway 將支持更多后端(EVM 后端已經在開發中)、抽象將更加具有經濟性、更多應用程序將從 Solidity/Vyper 遷移到 Sway、改進編譯器級別的重入分析等。[2023/2/21 12:19:53]

tx:0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合約:0xa8987285e100a8b557f06a7889f79e0064b359f2

Cardano(ADA)是2022年開發活動最多的區塊鏈協議:12月30日消息,據鏈上和社交指標平臺Santiment發布的數據, Cardano已被評為 2022 年開發活動最多的區塊鏈協議,其次是 Polkadot ( DOT ) 和 Cosmos ( ATOM )。今年經歷了重大合并升級的以太坊(ETH )位居第四,其次是互聯網計算機(ICP),Elrond(EGLD),Flow(FLOW)Optimism(OP),Aptos(APT)和Polygon(MATIC),排名第 10。Cardano 團隊在 2022 年全年的開發活動率是所有觀察到的協議中最高的,盡管就代幣銷售以來的投資回報率 (ROI) 而言,ADA 排名第六。[2022/12/31 22:17:37]

漏洞分析

項目方在GymSinglePool合約中實現過程中對于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函數缺少了權限控制,導致攻擊者能夠通過該函數調用內部_autoDeposit函數實現零消耗質押:

ENS 10月新注冊域名數超17萬個:金色財經報道,11月1日消息,據Dune Analytics數據顯示,以太坊域名服務ENS 10月新注冊域名數超17萬個,達173716個,此外,ENS注冊總域名數達2760205個。[2022/11/1 12:03:06]

對于應該開放給用戶的質押內部函數是_deposit函數,該函數實現了對于token的審批傳入,如下圖所示:

對應的_autoDeposit函數則實現了"特權"質押,即不需要轉入Token進行質押。同時該函數直接暴露給了用戶,函數對比如下:

BSCFA宣布UDOGE獲得BSC STAR白名單:據官方消息,BSCFA官方渠道宣布,UKADOGE成為BSC STAR白名單項目。

BSC STAR是BSCFA(公益基金組織)發布的一個明星項目評選,主要挑選GameFi/NFT/社交/元宇宙類項目進行評比,最終評選冠軍項目將獲得300W美金的天使輪融資。

據悉,UKADOGE是BSC鏈上的一款Meme代幣,目前主要做NFT&GameFi方向,其GameFi DAPP平臺即將上線。[2022/5/27 3:45:19]

攻擊流程

攻擊者為了防止鏈上MEV和搶跑機器人,將合約進行了分步部署執行,同時部署/調用了多次以完成對GymNetwork合約(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽離,以其中一筆部署調用為例:

1.部署合約后調用depositFromOtherContract實"特權"質押,對應0xfd4a2266方法:

內部調用細節如下:

2.調用0x30649e15實現對上一步特權質押的Token回撤:

3.利用0x1d111d13函數售出獲取到的的GYM-Token:

重復多次"特權"質押--回撤--售出步驟,攻擊者最終獲取到7475枚BNB:

為了抑制搶跑,攻擊者將添加質押和回撤進行了步驟分離,兩個步驟均為核心操作,同時刻意提高添加部分步驟的GasPrice為15/20gwei,可見攻擊者是有意為之。

溯源處置

本次攻擊原因是項目方實現的特權函數權限控制不當,在攻擊發現的1小時后項目方將GymSinglePool代理合約的邏輯合約進行了多次修改,為其添加了權限控制:

并在20分鐘后對邏輯合約添加了緊急賬戶處置函數:

而對于項目方Deployer地址分析,其部署的多個GymSinglePool合約根據追蹤僅在兩天前部署的GymSinglePool合約中存在漏洞,4天前的合約則不存在此函數:

同時代理合約對應的邏輯合約被升級為漏洞合約的事件發生在在2days13hrsago:

攻擊者的資金準備(FromTornado)則在約6小時以前,攻擊者的身份也值得令人深思。

總結

雖然只是一處小的控制缺陷,卻導致了數百萬美元的損失。項目方的處置雖較為及時,漏洞導致的損失卻難以挽回。該類型漏洞在審計過程中很容易被發現并將歸納到邏輯缺陷/不安全的外部調用,各項目方在開發和審計流程上切莫大意。

來源:金色財經

Tags:BSCGYMEFIDEPCloud9BSCGym AIGDEFI價格DEPO

LTC
區塊鏈:為什么智能合約安全審計如此重要

近幾年,區塊鏈行業里各種新項目層出不窮,Defi、Gamefi、NFT、Dao、元宇宙、跨鏈橋等等,這些大大小小的項目構建起了現在的區塊鏈生態.

1900/1/1 0:00:00
GAME:GameFi 陷入瓶頸后 3A 游戲會是出路嗎?

May2022,SimonDataSource:FootprintAnalytics3AGameDashboard無聊、跑的慢就血本無歸——現在提到GameFi項目就會讓用戶聯想到的兩個感受.

1900/1/1 0:00:00
CRYP:IMF建議CBDC應具有合規性,并提供用戶友好的支付功能

國際貨幣基金組織(IMF)在建議創建環保的支付系統方面邁出了一大步,對生態系統中不同Crypto的共識機制對能源消耗進行了研究.

1900/1/1 0:00:00
NFT:元宇宙到來對全球體育業意味著什么?

據雅虎財經發布的《2021年全球體育市場機遇和戰略報告》顯示,到2025年,全球體育市場預計將達到5999億美元,隨著疫情逐漸好轉,到2030年將達到8260億美元.

1900/1/1 0:00:00
TALI:OceanMollu丨暢想元宇宙生活的一天

元宇宙技術大普及的腳步聲越來越近了,對普通老百姓到底有啥影響?6月11日,在長沙學院召開的由中國圖像圖形學學會主辦,中國圖象圖形學學會視頻圖像與安全專委會協辦.

1900/1/1 0:00:00
BONK:元宇宙系列之虛擬人:“人”潮洶涌 探路未來

盡管元宇宙尚處不斷擴充定義的進程中,但市場對于虛擬人在其中扮演關鍵要素已達成一定共識。我們認為,從中短期視角看,虛擬人相關技術逐步落地,應用場景持續拓寬,或為元宇宙概念下技術、內容及產業融合升級.

1900/1/1 0:00:00
ads