加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

權限問題:Crosswise被黑事件分析_NER:USD

Author:

Time:1900/1/1 0:00:00

此次攻擊導致協議損失87.9萬美元

近日,BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下:

幣安新增GNS為全倉保證金與逐倉保證金的可借資產:據官方公告,幣安已將GNS添加為全倉保證金、逐倉保證金與新保證金對的可借資產,新的全倉保證金對為:GNS/BTC、GNS/USDT,新的逐倉保證金 GNS/BTC、KEY/USDT、USTC/USDT。[2023/3/20 13:14:22]

修改owner

首先設置trustedFowarder,然后通過transferOwnership函數修改owner。該過程中,自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制,導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果,最終使得owner可以被其他用戶修改。

Matrixport:比特幣價格可能在圣誕節前達到4.5萬美元:金色財經報道,美國機構可能一直支持1月份比特幣(BTC)的上漲,當時該加密貨幣上漲超過38%。加密服務提供商Matrixport在周三的一份研究報告中表示,今年年初的表現往往對代幣的價格有利。

在比特幣于1月份上漲的六年中的五年中,這種加密貨幣在年底以正回報結束了這一年。研究主管Markus Thielen寫道,平均而言,今年剩余時間的漲幅超過245%。該報告稱,比特幣在2014年經歷了強勁的1月份后唯一下跌的年份,當時價格剛剛達到牛市的頂峰。

Matrixport表示,2023年牛市的驅動力可能是預期的2024年3月比特幣減半周期,屆時進入系統的加密貨幣數量每10分鐘下降50%。因此,報告稱,比特幣價格從現在到年底可能翻一番的統計概率很高。報告補充說,這意味著到圣誕節比特幣價格可能達到45,000美元。[2023/2/4 11:46:57]

持有1K到100萬LINK的鯊魚和鯨魚地址2個月流入2680萬LINK:金色財經報道,數據顯示,持有1K到100萬LINK的鯊魚和鯨魚地址,已經出現了前所未有的積累。這些錢包在短短2個月內總共增加了2680萬LINK(1.943億美元),增加了12.8%。(Santiment)[2022/12/4 21:21:28]

由于上一步攻擊者修改了owner,即獲取了owner權限,因此,攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

Fantom基金會:正在敲定fUSD清算代碼庫,目前處于審計中:5月17日消息,Fantom基金會在推特上宣布,正在敲定fUSD清算代碼庫,目前正在審計中。如果審計通過,清算機制將在3-4周內準備好生效。

注:fUSD是一種超額抵押的穩定幣,使用被質押的FTM(sFTM)作為抵押品。

CoinMarketCap數據顯示,fUSD現報0.7403美元,24小時跌幅為11.23%,處于嚴重脫錨狀態。[2022/5/17 3:22:19]

通過MasterChef合約中的withdraw函數提取了692184.64CRSS.

將CRSS兌換為BNB.

通過Tornado實現混幣,將盜取的BNB轉移到其他賬戶地址

總結:本次攻擊的根本原因是項目方自定義的_msgSender函數存在漏洞,導致合約的Owner權限可以被黑客更改從而獲取MasterChef合約的Owner權限,最后通過Owner權限竊取了項目中的資金。另外,攻擊者賬戶發起攻擊的資金來源于Tornado混幣平臺。

安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

SharkTeam作為領先的區塊鏈安全服務團隊,為開發者提供智能合約審計服務。智能合約審計服務由人工審計和自動化審計構成,滿足不同客戶需求,獨家實現覆蓋高級語言層、虛擬機層、區塊鏈層、業務邏輯層四個方面近兩百項審計內容,全面保障智能合約安全。

來源:金色財經

Tags:NEROWNUSD比特幣WinerzFishingTownGilToken泰達幣usdtapp下載比特幣走勢圖十年

火幣APP下載
元宇宙商業新潮NFT+DAO,PDD開啟進擊之路_NFT:DAO

導語:2021年以來,加密圈里最狂熱的毫無疑問是NFT,尤其在元宇宙和Web3爆發以來,許多投資者將目光轉向這一新潮,PDD作為基礎設施也在為元宇宙添磚加瓦.

1900/1/1 0:00:00
什么時段以太坊Gas費最低?_GAS:以太坊

什么時候以太坊gas費最低,什么時候是在以太坊上交易的最佳時機?作為NFT熱衷者、DeFi投資者或交易者、以太坊上項目方,如何支付盡可能低的gas費?如果你想省錢,以下內容不要錯過.

1900/1/1 0:00:00
誰在瘋搶“數字藏品”?我們潛入數十個QQ群發現......_NFT:KLEE幣

1月19日,網易星球正式宣布推出數字藏品功能。1月5日,嗶哩嗶哩首發的數字藝術頭像“鴿德”正式公開發售,全網限量發行2233個,發售當日81分鐘售罄,B站不少網友評論“太難搶了”,“手指摁爛”.

1900/1/1 0:00:00
復旦教授解讀:“元宇宙”將對未來產生什么影響_AMP:XAMP

日前,復旦大學管理學院2022“瞰見|對話科創人物”論壇把目光聚焦在了當下炙手可熱的新事物——元宇宙上.

1900/1/1 0:00:00
OpenSea挑戰者揭竿而起,簡單三步埋伏Zora空投_ZOR:ORA

繼LooksRare之后,誰是OpenSea的下一個競爭者?頂級機構Paradigm投資的Zora是一個不容忽視的存在,原因主要有兩點:1.股東背景豪華.

1900/1/1 0:00:00
a16z合伙人:Web 3無法脫離中心化服務_WEB:PHUNK Vault (NFTX)

原作者:ChrisDixon,a16z普通合伙人最近很多人批評web3的點在于,它實際上并不是去中心化的,因為這里混合了一些中心化服務,例如OpenSea等NFT市場.

1900/1/1 0:00:00
ads