以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > MATIC > Info

OWN:權限問題:Crosswise被黑事件分析

Author:

Time:1900/1/1 0:00:00

此次攻擊導致協議損失87.9萬美元

近日,BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下:

glassnode:最近熱潮并沒有引發Uniswap交易活動的明顯增加:金色財經報道,glassnode發推稱,以太坊上的Uniswap交易量目前為55.7億美元/周,仍明顯低于往年水平。2023年初,人們對LiquidStake代幣的興趣出現了交易量激增,“meme代幣”也出現了短暫的上升,但后來逐漸消失。從這個角度看,我們可以發現,最近圍繞BTC ETF申請和瑞波幣對SEC判決的熱潮并沒有引發Uniswap交易活動的明顯增加。[2023/8/2 16:13:09]

修改owner

灰度比特幣信托負溢價率漲至40.58%:金色財經報道,Coinglass數據顯示,當前灰度總持倉量達226.62億美元,主流幣種信托溢價率如下:BTC,-40.58%;ETH,--53.22%;ETC,-62.66%;LTC,-47.06%;BCH,-19.8%。

此前報道,ARK方舟基金持倉數據顯示,4月1日至今,ARK方舟基金持續減持所持GBTC份額,累計減持89995份GBTC,按當前價計算,價值約128.33萬美元。截止發稿,GBTC報14.26美元。[2023/5/14 15:02:24]

首先設置trustedFowarder,然后通過transferOwnership函數修改owner。該過程中,自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制,導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果,最終使得owner可以被其他用戶修改。

Paxos:目前在Signature Bank存款為2.5億美元:3月13日消息,穩定幣發行商Paxos官方推特表示,目前在Signature Bank存款為2.5億美元,并建立了存款保險制度。所有Paxos穩定幣儲備都是完全支持的,并且可以隨時以美元1:1的比例贖回給客戶。

據悉,美國財政部已采取非常措施保護客戶,并宣布Signature Bank的所有客戶存款將得到充分保證。[2023/3/13 12:59:49]

SPACE ID將于9月15日開放域名階段性注冊:9月13日消息,去中心化域名協議SPACE ID宣布將于9月15日13:00開放域名階段性注冊(Domain Staging Launch),會在之后發布詳細信息。

SPACE ID原定于在9月13日開放域名階段性注冊,后遭推遲。SPACE ID此前表示,在為期5天的 Staging Launch期間,用戶可以按照先到先得的原則注冊 .bnb名稱。每個地址在暫存啟動期間只能注冊一個域名,注冊上限為每天300個。目前暫不清楚注冊細節有無變更。

9月初,SPACE ID宣布完成由Binance Labs領投的種子輪融資,具體融資金額尚未披露。SPACE ID表示,資金將用于.bnb域名服務與BNB Chain生態的集成,以及多鏈域名服務研發。[2022/9/13 13:27:12]

由于上一步攻擊者修改了owner,即獲取了owner權限,因此,攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

通過MasterChef合約中的withdraw函數提取了692184.64CRSS.

將CRSS兌換為BNB.

通過Tornado實現混幣,將盜取的BNB轉移到其他賬戶地址

總結:本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞,導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限,最后通過Owner權限竊取了項目中的資金。另外,攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。

安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。

來源:金色財經

Tags:NEROWNSTEACELoop EnergyDoge Your Own ResearchStep AppSpace Cat

MATIC
MER:縱橫幣海:比特幣行情分析2022.1.24

機會每天分時段創造,何須急于一時,初衷從未改變,創造利潤的同時,潛心專業把握風控,讓投資產生價值,走得長遠,也不負曾經的相遇與信任.、 ETH總Gas使用量創1個月低點:金色財經消息.

1900/1/1 0:00:00
WEB3.0:如何對抗監控資本主義的鐮刀?Web3能否給出解決方案?

原文標題:《當監控資本主義遭遇Web3.0》作者:劉秋杉,《元宇宙:通往無限游戲之路》作者,Bytom首席研究員今天東西方人們在瘋狂談論Web3.0.

1900/1/1 0:00:00
ETS:RSS敗給社交網絡,這段歷史對區塊鏈有何啟示?

原文作者:Sinclair原文標題:《TheRiseandDemiseofRSS》 原文編譯:姚昌林 前言: 老一輩互聯網人讀這篇文章應該會很有感觸,做區塊鏈的新一代,也會看到很多熟悉的現象.

1900/1/1 0:00:00
BTC:加密貨幣清算超7 億美元 山寨幣受到比特幣跌破 4 萬美元的打擊

加密貨幣混亂控制市場 隨著市場在大規模紅色星期五拋售中拋售2300億美元,這是一場加密貨幣混亂。在過去的12小時內,加密貨幣市場的價值大幅下跌了11%.

1900/1/1 0:00:00
ALCH:融資超 3 億美元,拆解 Web 3 基礎設施公司 Alchemy 的發展歷程與商業模式

原文標題:《總融資超3億美元,5000字拆解Web3基礎設施公司Alchemy》火星注:火星財經2021年10月28日消息,加密基礎設施服務商Alchemy以35億美元估值完成2.5億美元融資.

1900/1/1 0:00:00
ISLA:Islander主網正式推出全新范式 打造“邊學邊賺(Learn-to-Earn)”的項目用戶雙贏新生態

隨著行業熱度與日俱增,區塊鏈在普通投資者中漸受歡迎。然而,對于普通投資散戶而言,進入加密貨幣市場依然會覺得有點不知所措,無論是具有一定相關知識和經驗的人或是一個不知從何開始的新手.

1900/1/1 0:00:00
ads