加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > KuCoin > Info

Superfluid_HQ被黑分析-ODAILY

Author:

Time:1900/1/1 0:00:00

前?

2022年2月8日,知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊,損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析。

攻擊涉及基礎信息

Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

Polygon推出“Supernet”鏈,并將投資1億美元資助該網絡應用:4月22日消息,以太坊擴容解決方案Polygon為Web3開發推出了一個新的網絡,承諾為早期用戶提供1億美元,幫助他們快速采用。

該公司周五宣布,Polygon Supernet鏈讓開發者能夠在一個可定制的環境中構建他們的項目,而無需托管或運營成本。開發人員將能夠將他們的項目部署在Supernet Sovereign Chain或Supernet Shared Security Chain上,前者是由單一驗證者管理,從而減少維護成本,而后者提供了一種更容易的去中心化途徑,允許專業驗證者通過質押MATIC代幣來驗證網絡。

盡管Supernet依賴于Polygon Edge(一個用于創建和部署自己的區塊鏈項目的開發框架),但它們通過提供更多的安全和去中心化功能,超越了平臺的初始范圍。為了進一步推廣Supernet,Polygon計劃面向開發者分配1億美元資金。(Cointelegraph)[2022/4/22 14:42:29]

攻擊交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

Supersocial完成520萬美元種子輪融資 Initial Capital領投:10月11日消息,元宇宙體驗公司Supersocial完成520萬美元種子輪融資,Initial Capital領投,Griffin Gaming Partners、華納音樂集團、Marc Benioff的TIME Ventures、LightShed Ventures、Powerhouse Capital、Arem & Co以及多位天使投資者參投。Supersocial是一家打造元宇宙體驗的開發商和發行商,即將在Roblox平臺上推出多個游戲,包括備受期待的Ghostopia。Supersocial還創立了專為Roblox等元宇宙平臺量身定制的Supersocial Labs。(pulse2.com)[2021/10/11 20:19:56]

黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

幣贏CoinW即將開展第11期Fansup“IPFS打折搶購“活動:據官方消息,幣贏即將開展第11期Fansup“IPFS打折搶購”活動,可享受3折超低搶購優惠,所有完成CoinW實名認證的用戶提前購買USDT,即可參與本次搶購活動。首輪搶購時間為今天下午14:00開啟,共90分鐘搶購時間,詳情見原文鏈接。[2020/7/1]

攻擊合約地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

漏洞核心

此次漏洞核心在于函數callAgreement,該函數主要作用在于提供一個名為"ctx"的數據結構,“ctx”被用于協議間的通信共享。而此次事件的攻擊者就是對”ctx“數據進行了偽造,達到欺騙合約的目的。

漏洞利用

為什么假數據會被采用以及攻擊者是如何構造假“ctx”數據的?

從交易中可以看到攻擊者是直接在callData結尾處傳入了假“ctx”,同時真“ctx”數據也被構建出來了的,只是程序在處理數據時會將callData數據與“ctx”打包成一個對象,當協議對該對象進行解碼時,ABI解碼器僅會處理位于前面的數據而忽略掉后面的數據。

而構建一個假“ctx”數據也并不復雜,由于“ctx”結構末尾為全零所以僅需要仿照“ctx”結構將其直接添加在userData中,以下是官方示例如何構建一個假“ctx”:

總結

本次攻擊事件在于協議數據處理時無條件信任來源數據,應當對用戶數據與官方構造數據進行標識區分。近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:SUPUPESUPESUPERSuperRareSuperFlokisupe幣經營SuperWalk

KuCoin
Pocket Network 1月中繼服務數量達95億次,較上月增長80%-ODAILY_POC:Presale.World

PocketNetwork是提供中繼服務的基礎設施中間件協議,它利用分布在全球的27,000多個全節點為37個區塊鏈的Web3應用程序提供RPC中繼服務.

1900/1/1 0:00:00
Foresight Ventures市場周報:公鏈TVL出現單周最大跌幅, NFT市場保持火熱-ODAILY_FOR:Efforce

摘要: 受二級價格影響,公鏈TVL出現單周最大跌幅。NFT市場依舊火熱,明星項目交易量帶動gasfee上漲.

1900/1/1 0:00:00
DeGame線上圓桌活動回顧:STEPN如何引爆GameFi 2.0?-ODAILY_STE:tep幣未來如何發展

內容整理:付茗瑤 后期編輯:張悅然、JaniceDeGame.com是新加坡區塊鏈公司L2Y旗下的去中心化區塊鏈游戲聚合平臺,為玩家與投資者提供一站式體游戲體驗.

1900/1/1 0:00:00
一文讀懂Chainlink的跨鏈兼容性方案-ODAILY_區塊鏈:Chain

智能合約生態正在朝著多鏈方向發展,區塊鏈的應用不再局限于某一個網絡,而是跨越各個去中心化賬本,共同形成了一個生態。其中每條區塊鏈都有自己獨特的價值主張和技術特點.

1900/1/1 0:00:00
元宇宙發展狀況之「尚未確定」項目調研(2)-ODAILY_AND:NFT

具體項目調研 下面將按不同分類以及元宇宙開放程度,對上述項目做具體的分析。分類方式介紹:將對項目分為“可編輯空間或可進入空間游玩”,“與DeFi結合”,“尚未確定”三個大類別;同時將根據“具有本.

1900/1/1 0:00:00
去中心化科學生態的代幣工程:公共物品治理與宏圖-ODAILY_AND:Collab.Land

這是科學代幣工程博客系列的第3部分。在這篇博文中,我們將把迄今為止我們討論過的所有內容放在一起,并嘗試設想一個開放的科學社區會是什么樣子。請參閱第1部分和第2部分.

1900/1/1 0:00:00
ads