加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

獨家|Fairyproof Tech:對XSURGE受攻擊事件的完整回顧_BSP:NBS

Author:

Time:1900/1/1 0:00:00

由Fairyproof Tech授權,金色財經獨家發布。

8月17日,Fairyproof Tech的監測系統檢查到BSC鏈上的DeFi協議XSURGE遭到閃電貸攻擊。 

關于閃電貸攻擊,我們在此前的文章中曾經有過多次介紹。“閃電貸”在DeFi領域,尤其是今年以來的屢 次攻擊事件中已經成為圈內外耳熟能詳的詞匯。 

“閃電貸”的原理是利用以太坊智能合約可以回滾交易的特性,進行借貸操作的一種手段。大家一定要注意的是,“閃電貸”只是被利用的手段,它本身并不是罪魁禍首。罪魁禍首一般都另有其它原因。 

黑客們利用閃電貸進行攻擊的基本過程是這樣的: 

首先利用閃電貸從資金池借出資金 

獨家|以太坊2.0存款合約地址已收到57953.0ETH 進度11.05%:金色財經消息,據歐科云鏈OKLink數據顯示,截至下午2時,以太坊2.0存款合約地址已收到57953ETH,距離524288枚ETH啟動以太坊2.0創世區塊的最低要求已完成11.05%。

以太坊24h鏈上活躍地址數逾68.68萬,環比上升35.56%;鏈上交易量近344.78萬ETH,環比上升16.57%;鏈上交易筆數逾107.88萬筆,環比下降6.55%。

當前以太坊建議Gas費用為44.45Gwei,環比下降8.07%。[2020/11/12 14:06:31]

然后利用借出的資金找準被攻擊合約的漏洞進行攻擊 

最后從攻擊獲得的巨額收益中拿出借貸的本金歸還給資金池,則剩下的就是黑客本次攻擊的獲利。

獨家|比特幣24h鏈上交易量為32.95萬BTC 環比下降47.1%:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,比特幣24h鏈上活躍地址數逾94.17萬,環比下降16.97%;鏈上交易量近32.95萬BTC,環比下降47.1%;鏈上交易筆數逾27.63萬筆,環比下降20.33%。

截至上午10時,比特幣全網難度為19.31T,全網算力為138.64EH/s,較前日上升0.92EH/s,未確認交易數約5242筆。[2020/9/27]

 本次受攻擊的XSURGE項目被黑客抓住的漏洞是“重入攻擊”。黑客抓住這個漏洞,利用閃電貸,放大了攻擊效果。不過本次攻擊事件中,值得注意的是:在XSURGE受到攻擊前,項目方已經在推特上發表了聲明,聲稱在合約中發現漏洞,并提醒大家將資金撤出。 

獨家|以太坊24h鏈上交易量近627.68萬ETH 環比上升35.51%:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,以太坊24h鏈上活躍地址數逾38.24萬,環比下降4.85%;鏈上交易量近627.68萬ETH,環比上升35.51%;鏈上交易筆數逾112.12萬筆,環比上升5.1%。

截至下午2時,以太坊全網算力約為226.09TH/s,環比上升1.98TH/s,建議Gas費用為168.78Gwei,環比上升14.16%,未確認交易數約10.62萬筆。[2020/9/11]

或許是項目方的聲明提醒了黑客,抑或許是黑客蓄謀已久,就在項目方的聲明發出不久,項目即遭到了攻擊。 

在本次攻擊中,黑客前后進行了多輪測試和攻擊,總共的獲利超過13000個BNB,市值超過500萬美元。在黑客發起的眾多輪測試和攻擊中,我們選取了一次很簡單的攻擊流程和大家展示一下黑客攻擊的過程。

獨家|比特幣鏈上交易量環比上升4.84% 全網未確認交易數近1.37萬筆:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,比特幣24h鏈上活躍地址數逾95.36萬,環比下降8.19%;鏈上交易量近59.87萬BTC,環比上升4.84%;鏈上交易筆數逾32.91萬筆,環比上升0.69%。

截至上午10時,比特幣全網難度為17.56T,全網算力為122.38EH/s,較前日下降1.58EH/s,未確認交易數近1.37萬筆。[2020/8/28]

在這個攻擊中,攻擊者的地址為:0x59c686272e6f11dC8701A162F938fb085D940ad3,被攻擊的 XSURGE的合約地址為: 0xE1E1Aa58983F6b8eE8E4eCD206ceA6578F036c21。

這個攻擊的交易哈希值為 0x42bc03afdbda5c46d185711ce1f5df990ece215534dcd8b14529bb1beddacd4 ,與其相關的交易流 程圖如下:

獨家|鏈上交易量近29.66萬BTC 環比下降21.3%:金色財經消息,據歐科云鏈OKLink鏈上數據顯示,BTC鏈上活躍度下降。BTC 24h鏈上活躍地址數逾90.82萬,環比下降4.83% ;鏈上交易量近29.66萬BTC,環比下降21.3% ;鏈上交易筆數逾28.67萬筆,環比下降7.87% 。

截至上午10時,BTC全網難度為16.95T,全網算力為120.01EH/s,較前日上升0.47EH/s,全網算力呈上升趨勢。未確認交易數近5575筆[2020/8/24]

這個流程圖顯示的是一系列BNB的轉賬流程,這個流程所暗含的信息如下: - 攻擊合約首先以閃電貸的方式借入了3個BNB - 然后攻擊者開始攻擊SurgeToken合約 - 經過重復多次攻擊后,攻擊者獲得的累計金額達8.175個BNB - 攻擊者最終償還3個BNB的閃電貸借款,最后獲利5.1667個BNB “麻雀雖小、五臟俱全”,這個金額很小的試探性攻擊過程就反映了黑客利用閃電貸攻擊合約的完整流 程。那么具體到被攻擊的合約代碼,到底是哪里出了問題呢?下面是我們節選的關鍵代碼:

上述代碼中,有"重入攻擊"漏洞的代碼是下面這一行:

這一行代碼中,在外部調用時,通常 call 調用默認只有2300 gas可用,無法完成一次攻擊。但這里使 用 gas: 40000 的參數, 使得重入攻擊最多有40000 gas可用,這就使得重入攻擊得以完成,漏洞就出 現了。 另外,合約的狀態修改是在外部調用之后,從而導致重入攻擊發生時 require(_balances[seller] >= tokenAmount 這句語句中的 balances[seller] 沒有被修改。因此攻擊者可以在重入時繼續調用上面 的代碼,轉走合約中的BNB。

因此,本次攻擊得逞的原因有以下兩點:

狀態修改發生外部調用之后 

調用call函數時設置了gas 值使得重入攻擊的條件得以具備。

 重入攻擊是智能合約安全領域經常出現的問題,在本次攻擊中,閃電貸同樣也只是起到了“幫兇”的作用,而不是“禍首”。所以本次合約安全事故的根本還是“重入攻擊”這個漏洞。 這次事件再次提醒所有的項目方要高度重視合約的審計。同時這也提醒了所有的審計者,對常見問題的審計不能掉以輕心,要以嚴謹的態度處理一切問題、細致的工作堵住一切漏洞,而這也是Fairyproof Tech一直以來秉持的基本態度和方法。

關于Fairyproof Tech: Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富 智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中 ERC-2569 被以太坊團隊正式收入。 

團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易 所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤 及安全防范系統。 

作者:Fairyproof TechCEO 譚粵飛 

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士 (Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的 開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事 嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與 智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags:BSPNBS以太坊TECHBSPTNBS幣以太坊價格今日行情幣幣情Ether Tech

酷幣下載
比特幣定價的風險測度_比特幣:AMP

摘要:本文探討了比特幣定價的風險測度,并簡要介紹了它在高頻量化策略和期貨保證金設定中的應用。對于比特幣市場更深入的認識,或許能為監管機構提供更多的參考。各現貨交易所的比特幣價格存在價差.

1900/1/1 0:00:00
這是一個“鏈”愛的季節 TME數字藏品 當音樂遇見NFT_比特幣:FTX

人們都說,音樂和愛一樣 是能夠穿越時光的寶藏 從口耳相傳到工尺記譜 從黑膠唱片到CD光盤 音樂的載體不斷更迭變遷 能夠穿越時光卻始終不變的是我們對音樂的熱愛與赤誠互聯網浪潮下.

1900/1/1 0:00:00
金色早報 | 摩根大通:CTA交易員被迫退出比特幣和以太坊的空頭頭寸_數字貨幣:以太坊

頭條 ▌摩根大通:CTA交易員被迫退出比特幣和以太坊的空頭頭寸8月14日消息,摩根大通表示:CTA(商品交易顧問)交易員被迫退出比特幣和以太坊的空頭頭寸,并開始建立多頭頭寸.

1900/1/1 0:00:00
OpenSea以12億美元月成交量引領以太坊NFT復興_PEN:Open Platform

本文來自 Decrypt,原文作者:Andrew HaywardNFT 加密收藏品市場 OpenSea最近交易活動和成交量激增.

1900/1/1 0:00:00
金色前哨 | 又一NFT頭像火了 24小時銷毀ETH超Opensea兩倍_KON:mongoose幣最新價格

金色財經此前文章曾表示,以太坊EIP-1559上線后銷毀ETH排行榜將成為哪個項目正在快速流行和崛起的重要信號.

1900/1/1 0:00:00
Metaverse背后的技術支撐:交互性3D、XR、AI及5G_META:Apple Fan Metaverse

互聯網技術推動了虛擬世界的發展,人類社會正在建立持久的虛擬關系,比如擁有和裝飾虛擬空間、在不同的虛擬生態系統中爭奪稀缺的虛擬資源。但虛擬現實發展目前面臨兩大障礙:1)缺乏硬件.

1900/1/1 0:00:00
ads