Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。與Furucombo交互過的用戶應及時撤銷相關授權,避免進一步損失。
原文標題:《可避天災,難免人禍——Furucombo被黑分析》撰文:慢霧安全團隊
據鏈聞消息,著名DeFi項目Furucombo被黑,損失約1500萬美元。慢霧安全團隊第一時間介入分析,并將攻擊細節分享給大家。
攻擊細節分析
本次發生問題的合約在Furucombo本身的代理合約當中。整個攻擊流程很簡單。攻擊者通過設置了Furucombo的AaveV2Proxy的邏輯地址導致后續通過Furucombo代理合約調用的邏輯全部轉發到攻擊者自己的惡意合約上,導致任意資金被盜。
Bitfury CEO:穩定幣發行方沒有最低余額要求、每月賬戶維護費等要求:12月9日消息,美國國會加密聽證會正在進行中。Bitfury首席執行官Brian Brooks指出,最低余額要求、每月賬戶維護費以及類似的要求,是導致個人銀行存款不足的問題。他告訴眾議員Bryan Steil,穩定幣發行方沒有這些要求。(CoinDesk)[2021/12/9 12:59:55]
但是如果事情那么簡單,那么本次分析不值一提。問題遠比想象的復雜得多。
如上圖所示攻擊者的入口在Furucombo的batchExec函數,我們先對batchExec函數進行分析:
以上是FurucomboProxy合約的batchExec函數的具體實現,其中_preProcess和_postProcess合約分別是對調用前后做一些數據上的處理,不涉及具體的調用邏輯,這邊可以先忽略。我們主要觀察核心的_execs函數:
卡巴斯基將利用Bitfury的軟件為莫斯科構建區塊鏈投票系統:金色財經報道,根據用于電子投票的官方頁面,莫斯科信息技術部正在計劃使用Bitfury的開源企業區塊鏈Exonum構建用于投票的區塊鏈。據熟悉電子投票項目的幾位人士稱,為莫斯科當局構建解決方案的公司是反病軟件供應商卡巴斯基實驗室。據此前報道,據莫斯科居民將能夠使用基于區塊鏈的系統對該國憲法的修正案進行投票。[2020/6/10]
通過對execs代碼的分析不難發現,函數的主要邏輯是對configs數組的數據做檢查,并根據configs數組的數據對data進行一些處理。但是回顧上文中攻擊者的調用數據,不難發現攻擊者的調用數據中,configs的數據是一個0地址:
這里有一個trick,由于0地址是一個EOA地址,所有對EOA地址的函數調用都會成功,但是不會返回任何結果。結合這個trick,execs函數中的關于configs數據的部分可以先暫時忽略。直接看到最后的核心_exec函數:
動態 | 比特幣礦企Bitfury推出首個由比特幣支持的企業區塊鏈:據福布斯消息,比特幣礦業巨頭Bitfury正式進入企業區塊鏈業務領域。在之前發布任何人都可以免費使用的開源軟件來運行類似于比特幣的區塊鏈許可之后,Bitfury今天推出了Exonum Enterprise,這是第一個從頭開始構建的區塊鏈,目的是讓企業利用比特幣簡化業務并提高透明度。[2019/12/6]
_exec函數的邏輯也很簡單,在校驗了_to地址后,直接就將data轉發到指定的_to地址上了。而通過對攻擊交易的分析,我們能發現這個_to地址確實是官方指定的合法地址。
最后一步,便是調用_to地址,也就是官方指定的AaveV2Proxy合約的initialize函數,將攻擊者自己的惡意地址設置成AaveV2Proxy合約的邏輯地址。通過對Furucombo合約的分析,可以發現整個調用流程上沒有出現嚴重的安全點,對調用的地址也進行了白名單的檢查。那么問題只能是出在了對應要調用的代理邏輯上,也就是AaveV2Proxy合約。
獲比特幣礦業巨頭Bitfury支持 加拿大礦廠Hut 8月底登陸多倫多證券交易所:據彭博社報道,總部位于加拿大多倫多的Hut 8 Mining Corp公司將在本月底登陸多倫多證券交易所。據悉,Hut 8 Mining將通過反向收購形式上市——即通過收購一家已經上市的企業達成自己的上市目的。據了解,去年十二月,該公司宣布與比特幣礦業巨頭Bitfury合作,以收購、部署、維護和運營北美地區最大的比特幣挖礦數據中心。根據提交的上市文件顯示,Bitfury將會提供硬件、軟件工具和后勤支持,全力滿足Hut 8在北美市場的業務擴張需要。[2018/2/14]
我們直接分析AaveV2Proxy合約的initialize函數的邏輯:
可以看到initialize函數是一個public函數,并在開頭就檢查了_implementation是否是0地址,如果是0地址,則拋出錯誤。這個檢查的目的其實就是檢查了_implementation是否被設置了,如果被設置了,就無法再次設置。根據這個設置,不難想出initialize這個函數只能調用一次。除非AaveV2Proxy從來沒有設置過_implementation,否則這個調用是不會成功的。難道Furucombo真的沒有設置過對應的_implementation嗎?帶著這樣的疑問,我們檢查了交易內的狀態變化。如下:
可以看到,交易中改變了存儲位置為0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc的內容,而寫入的內容正是攻擊者自己的惡意合約地址0x86765dde9304bea32f65330d266155c4fa0c4f04。
而0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc這個位置,正是_implementation數據的存儲地址。
也就是說,官方從來沒有設置過AaveV2Proxy合約的_implementation地址,導致攻擊者鉆了這個空子,造成了Furucombo資產損失。
總結
通過對整個事件的分析來看,Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。
建議
目前,由于Furucombo遭受攻擊,導致任何將代幣授權過給Furucombo合約(0x17e8ca1b4798b97602895f63206afcd1fc90ca5f)的用戶都將面臨資金損失的風險。
慢霧安全團隊建議與Furucombo交互過的用戶檢查是否有將相關代幣授權給Furucombo合約。如有授權,應及時撤銷相關授權,避免進一步損失。
來源鏈接:mp.weixin.qq.com
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
FURUCOMBO
FURUCOMBO
FURUCOMBO旨在節省操作步驟與手續費,無限DeFi組合。在不知道如何編程的情況下,將自己的DeFi投資組合進行集成。將所有策略整合到一個交易中,拖動多維數據集以重新排列操作順序。Furucombo查看更多
尊敬的LBank用戶: LBank于2021年2月9日開啟的“期權大使招募”活動已結束,現公布中獎名單如下:150****4464?185****0150188****5434178****27.
1900/1/1 0:00:00先看到4小時圖形,幣價在昨天突破20日線未果后一路下挫,價格也被5日線穩穩壓住,這一波接近260個點的下跌波段截至目前為止仍未出現止跌信號,因為其成交量仍舊是下跌放量和反彈無量的.
1900/1/1 0:00:00金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.
1900/1/1 0:00:00上周,颯姐團隊通過一則案例介紹了BTC礦機丟失的民事救濟途徑,幾位讀者后臺留言表示對比特幣委托理財糾紛也很關注。今日,颯姐團隊再分享一個案例,看看委托他人代買加密貨幣的法律風險.
1900/1/1 0:00:00Gate.io已上線AR/USDT永續合約實盤交易,支持1-20倍做多和做空操作,杠桿率可以在下單時自行選擇.
1900/1/1 0:00:00晚間給出以太簡評,建議小幅回調先看一波反彈。給出的操作建議1490-1500,止損1420,午間以太沖高遇壓1528.66一線回調震蕩下挫回調漲幅,觸底反彈插針二次向上試探遇壓回踩,二次回踩14.
1900/1/1 0:00:00