以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ETH:慢霧分析Multichain被盜經過,合約一函數未檢查用戶傳入Token的合法性

Author:

Time:1900/1/1 0:00:00

?Multichain(AnySwap)此前一個影響6個跨鏈Token的關鍵漏洞被利用,導致被盜取445ETH。慢霧安全團隊分析了安全事件經過,

1.用戶可以通過Multichain的AnyswapV4Router合約進行資金跨鏈操作,在進行資金跨鏈時用戶需要將待跨鏈的代幣授權給AnyswapV4Router合約。??

2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函數。此函數允許用戶在鏈下進行授權簽名,鏈上驗證并授權的操作。在此函數中,其會先通過調用用戶傳入的Token地址的underlying函數來獲取underlying代幣地址(正常情況下用戶傳入的Token地址應該是anyToken,獲取underlying代幣應該是用戶要跨鏈的資產,如anyUSDT與USDT),隨后通過underlying代幣的permit函數進行簽名檢查與授權操作,授權完成后通過safeTransferFrom將代幣轉入anyToken合約中,最后通過_anySwapOut觸發事件。??

慢霧:BXH于BSC鏈被盜的ETH、BTC類資產已全部跨鏈轉至相應鏈:11月3日消息,10月30日攻擊BXH的黑客(BSC: 0x48c94305bddfd80c6f4076963866d968cac27d79)在洗幣過程中,多次使用了 AnySwap、PancakeSwap、Ellipsis 等兌換平臺,其中部分 ETH 代幣被兌換成 BTC。此外,黑客現已將 13304.6 ETH、642.88 BTCB 代幣從 BSC 鏈轉移到 ETH、BTC 鏈,目前,初始黑客獲利地址仍有 15546 BNB 和價值超 3376 萬美元的代幣。慢霧 AML 將持續監控被盜資金的轉移,拉黑攻擊者控制的所有錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。[2021/11/3 6:28:49]

3.但由于anySwapOutUnderlyingWithPermit函數中未檢查用戶傳入的token的合法性,且由于WETH代幣不存在permit函數的同時實現了fallback函數,而permit函數接口也恰好沒有返回值,因此在對WETH合約的permit函數進行調用時是不會拋出錯誤的。攻擊者正是利用此問題構造了惡意的Token地址,使得anySwapOutUnderlyingWithPermit函數獲取的underlying為WETH,將先前有將WETH代幣授權給AnyswapV4Router合約的用戶的WETH直接轉移到攻擊者惡意構造的Token地址中。??

動態 | 慢霧安全團隊發現新型公鏈攻擊手法“異形攻擊”:慢霧安全團隊發現針對公鏈的一種新型攻擊手法“異形攻擊”(又稱地址池污染),是指誘使同類鏈的節點互相侵入和污染的一種攻擊手法,漏洞的主要原因是同類鏈系統在通信協議上沒有對非同類節點做識別。這種攻擊在一些參考以太坊通信協議實現的公鏈上得到了復現,以太坊同類鏈,由于使用了兼容的握手協議,無法區分節點是否屬于同個鏈,導致地址池互相污染,節點通信性能下降,最終造成節點阻塞、主網異常等現象。相關公鏈需要注意持續保持主網健康狀態監測,以免出現影響主網穩定的攻擊事件出現。[2019/4/18]

此次主要是由于anySwapOutUnderlyingWithPermit函數未檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。??

聲音 | 慢霧:警惕“假充值”攻擊:慢霧分析預警,如果數字貨幣交易所、錢包等平臺在進行“EOS 充值交易確認是否成功”的判斷存在缺陷,可能導致嚴重的“假充值”。攻擊者可以在未損失任何 EOS 的前提下成功向這些平臺充值 EOS,而且這些 EOS 可以進行正常交易。

慢霧安全團隊已經確認真實攻擊發生,但需要注意的是:EOS 這次假充值攻擊和之前慢霧安全團隊披露過的 USDT 假充值、以太坊代幣假充值類似,更多責任應該屬于平臺方。由于這是一種新型攻擊手法,且攻擊已經在發生,相關平臺方如果對自己的充值校驗沒有十足把握,應盡快暫停 EOS 充提,并對賬自查。[2019/3/12]

參考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d

Tags:ANYSWAPETHAnyswapAnyPrinterPixel Swapetherparty幣前景ManySwap

POL幣最新價格
RAK:日本的稅收政策將導致一些加密貨幣公司離開本國

據CoinDesk報道,日本執政聯盟批準了2022財年的稅收計劃,繼續將代幣的上市視為應稅項目。一旦代幣在活躍的市場上市,發行者即使不出售也要納稅.

1900/1/1 0:00:00
AME:云原生游戲工作室Mainframe Industries完成由 a16z 領投的2290萬美元融資

云原生游戲工作室MainframeIndustries完成2290萬美元融資,a16z等領投。由前CCP、RemedyEntertainment和NextGames資深人士創立的芬蘭-冰島游戲工.

1900/1/1 0:00:00
AVE:Aave V3代碼許可以55.44%的投票率選擇了Business License

AaveV3代碼許可投票已結束,BusinessLicense獲得55.44%投票率,MIT獲得44.28%投票率,GPL獲得0.29%投票率.

1900/1/1 0:00:00
HAN:周杰倫將ins頭像換成PhantaBear NFT,旗下公司聲明并未參與該項目策劃經營

杰威爾音樂官方發布聲明稱,近日外界誤以為PHANTACi與某網站聯名推出的PhantaBearNFT與周杰倫有相關。本公司強調此商業行為與周杰倫無關,亦不是周杰倫推出NFT.

1900/1/1 0:00:00
ING:跨鏈橋協議Swing完成600萬美元融資,Republic Capital領投

據Coindesk報道,跨鏈流動性和橋接協議Swing在由RepublicCapital牽頭的戰略融資中籌集了600萬美元,估值為6000萬美元.

1900/1/1 0:00:00
BIT:加密投資公司10T正為其第三只數字資產基金籌集5億美元

據SEC監管文件,宏觀投資者DanTapiero旗下中后期私募股權公司10THoldings正在推出新基金“10TDAEFund3.0”,目標融資額5億美元.

1900/1/1 0:00:00
ads