權限問題：Crosswise被黑事件分析_NER:USD

此次攻擊導致協議損失87.9萬美元

近日，BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下：

幣安新增GNS為全倉保證金與逐倉保證金的可借資產:據官方公告，幣安已將GNS添加為全倉保證金、逐倉保證金與新保證金對的可借資產，新的全倉保證金對為：GNS/BTC、GNS/USDT，新的逐倉保證金 GNS/BTC、KEY/USDT、USTC/USDT。[2023/3/20 13:14:22]

修改owner

首先設置trustedFowarder，然后通過transferOwnership函數修改owner。該過程中，自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制，導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果，最終使得owner可以被其他用戶修改。

Matrixport：比特幣價格可能在圣誕節前達到4.5萬美元:金色財經報道，美國機構可能一直支持1月份比特幣(BTC)的上漲，當時該加密貨幣上漲超過38%。加密服務提供商Matrixport在周三的一份研究報告中表示，今年年初的表現往往對代幣的價格有利。

在比特幣于1月份上漲的六年中的五年中，這種加密貨幣在年底以正回報結束了這一年。研究主管Markus Thielen寫道，平均而言，今年剩余時間的漲幅超過245%。該報告稱，比特幣在2014年經歷了強勁的1月份后唯一下跌的年份，當時價格剛剛達到牛市的頂峰。

Matrixport表示，2023年牛市的驅動力可能是預期的2024年3月比特幣減半周期，屆時進入系統的加密貨幣數量每10分鐘下降50%。因此，報告稱，比特幣價格從現在到年底可能翻一番的統計概率很高。報告補充說，這意味著到圣誕節比特幣價格可能達到45,000美元。[2023/2/4 11:46:57]

持有1K到100萬LINK的鯊魚和鯨魚地址2個月流入2680萬LINK:金色財經報道，數據顯示，持有1K到100萬LINK的鯊魚和鯨魚地址，已經出現了前所未有的積累。這些錢包在短短2個月內總共增加了2680萬LINK(1.943億美元)，增加了12.8%。(Santiment)[2022/12/4 21:21:28]

由于上一步攻擊者修改了owner，即獲取了owner權限，因此，攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

Fantom基金會：正在敲定fUSD清算代碼庫，目前處于審計中:5月17日消息，Fantom基金會在推特上宣布，正在敲定fUSD清算代碼庫，目前正在審計中。如果審計通過，清算機制將在3-4周內準備好生效。

注：fUSD是一種超額抵押的穩定幣，使用被質押的FTM（sFTM）作為抵押品。

CoinMarketCap數據顯示，fUSD現報0.7403美元，24小時跌幅為11.23%，處于嚴重脫錨狀態。[2022/5/17 3:22:19]

通過MasterChef合約中的withdraw函數提取了692184.64CRSS.

將CRSS兌換為BNB.

通過Tornado實現混幣，將盜取的BNB轉移到其他賬戶地址

總結：本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞，導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限，最后通過Owner權限竊取了項目中的資金。另外，攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。

安全建議

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。

SharkTeam作為領先的區塊鏈安全服務團隊，為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成，滿足不同客戶需求，獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容，全面保障智能合約安全。

來源：金色財經

Tags：NEROWNUSD比特幣WinerzFishingTownGilToken泰達幣usdtapp下載比特幣走勢圖十年

火幣APP下載