前?
2022年2月8日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊,損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析。
攻擊涉及基礎信息
Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f
SuperRare宣布OSF成為6月RarePass空投藝術家:金色財經報道,NFT市場SuperRare在官推宣布OSF成為6月RarePass空投藝術家,OSF又名 Ovie Faruq,前華爾街交易員,后來成為 Web3/NFT 投資者、建設者和藝術家,他@CanaryLabsXYZ、@DegenzNFT和@rektguyNFT、以及 Mando (?@rektmando?)的共同創建者,據悉OSF的NFT系列將于6月7日發布,希望參與的用戶必須將RarePass NFT下架才能獲得空投,所有RarePass藝術品也可以在空投后支持SuperRare的二級市場上交易。[2023/6/6 21:18:29]
攻擊交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67
PUMA(彪馬)推出Super PUMA PFP NFT:2月10日消息,時尚運動品牌 PUMA(彪馬)宣布推出最新 NFT 系列「Super PUMA PFP」以繼續擴大其在 Web3 世界中的影響力。PUMA 打算在一系列產品和計劃中使用 Super PUMA,包括服裝、毛絨玩具和漫畫書。
此外,PUMA 還透露即將與 10KTF 達成合作伙伴關系,后者將為該公司后續的 Web3 計劃帶來更多資源和支持。[2023/2/11 11:59:55]
黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090
Coinbase將上線SuperRare (RARE) 和TE-Food ( TONE):據官方消息,Coinbase宣布將在以太坊網絡添加支持SuperRare (RARE) 和TE-Food ( TONE) ,已開放存款。如果滿足流動性條件,交易將于太平洋時間2022年8月2日上午9點或之后開始。一旦建立了足夠的該資產供應,RARE-USD、RARE-USDT、TONE-USD和TONE-USDT交易對將分階段啟動。[2022/8/2 2:51:53]
攻擊合約地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4
漏洞分析
漏洞核心
此次漏洞核心在于函數callAgreement,該函數主要作用在于提供一個名為"ctx"的數據結構,“ctx”被用于協議間的通信共享。而此次事件的攻擊者就是對”ctx“數據進行了偽造,達到欺騙合約的目的。
漏洞利用
為什么假數據會被采用以及攻擊者是如何構造假“ctx”數據的?
從交易中可以看到攻擊者是直接在callData結尾處傳入了假“ctx”,同時真“ctx”數據也被構建出來了的,只是程序在處理數據時會將callData數據與“ctx”打包成一個對象,當協議對該對象進行解碼時,ABI解碼器僅會處理位于前面的數據而忽略掉后面的數據。
而構建一個假“ctx”數據也并不復雜,由于“ctx”結構末尾為全零所以僅需要仿照“ctx”結構將其直接添加在userData中,以下是官方示例如何構建一個假“ctx”:
總結
本次攻擊事件在于協議數據處理時無條件信任來源數據,應當對用戶數據與官方構造數據進行標識區分。近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
說起元宇宙,大家第一時間能想到什么?是頭號玩家里的時空穿越還是Facebook改名“Meta”時宣傳片里的虛擬辦公?都說站在風口豬都可以飛起來,而元宇宙無疑就是最近最大的風口.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品 背景 繼2020年波卡主網上線后,2021年對于波卡來說也是不平凡的一年.
1900/1/1 0:00:00根據官方新聞稿,昨日,金融服務應用Dave與加密貨幣交易平臺FTXUS達成戰略合作伙伴關系,并獲得FTXVentures的1億美元投資.
1900/1/1 0:00:00隨著全球金融市場數字化進程的不斷深化,加密貨幣推動全新金融范式的形成,金融市場迎來了前所未有的多元化局面,引發市場波動與風險的因素也愈加寬泛.
1900/1/1 0:00:00加密資產是證券嗎?對于這個核心問題的答案將對加密行業產生許多影響,從監管和合規到內幕交易執法等方面.
1900/1/1 0:00:00BoredApeYachtClub(BAYC)NFT于2021年4月推出,在不到一年的時間里就獲得了前所未有的發展.
1900/1/1 0:00:00