據鏈聞消息,著名DeFi項目Furucombo被黑,損失超1400萬美元。慢霧安全團隊第一時間介入分析,并將攻擊細節分享給大家。
攻擊細節分析
本次發生問題的合約在Furucombo本身的代理合約當中。整個攻擊流程很簡單。攻擊者通過設置了Furucombo的AaveV2Proxy的邏輯地址導致后續通過Furucombo代理合約調用的邏輯全部轉發到攻擊者自己的惡意合約上,導致任意資金被盜。
但是如果事情那么簡單,那么本次分析不值一提。問題遠比想象的復雜得多。
如上圖所示攻擊者的入口在Furucombo的batchExec函數,我們先對batchExec函數進行分析:
以上是FurucomboProxy合約的batchExec函數的具體實現,其中_preProcess和_postProcess合約分別是對調用前后做一些數據上的處理,不涉及具體的調用邏輯,這邊可以先忽略。我們主要觀察核心的_execs函數:
吳杰莊:若港府能成功將數碼港元打造成全球首個由官方發行的穩定幣,可避免破產風波:金色財經報道,香港立法會議員吳杰莊表示,若港府能成功將數碼港元打造成成為全球首個由官方發行的穩定幣,以現金支持提高穩定性,可避免破產風波,同時也能將港元打入Web3.0市場,穩站業界龍頭的位置。
吳杰莊也曾建議港府須考慮數碼港元的發行“可否與DeFi對接”,成為虛擬資產交易平臺的基建的重要組成部分。[2023/8/30 13:05:23]
通過對execs代碼的分析不難發現,函數的主要邏輯是對configs數組的數據做檢查,并根據configs數組的數據對data進行一些處理。但是回顧上文中攻擊者的調用數據,不難發現攻擊者的調用數據中,configs的數據是一個0地址:
這里有一個trick,由于0地址是一個EOA地址,所有對EOA地址的函數調用都會成功,但是不會返回任何結果。結合這個trick,execs函數中的關于configs數據的部分可以先暫時忽略。直接看到最后的核心_exec函數:
卡巴斯基CEO:禁用 iMessage 可避免 iOS 設備遭遇 Triangulation 間諜攻擊:6月5日消息,網絡安全解決方案 Kaspersky CEO Eugene Kaspersky 發推稱,發現一種針對 iOS 的新型網絡攻擊,名為 Triangulation。該攻擊從帶有惡意附件的 iMessage 開始,利用 iOS 中的一些漏洞安裝間諜軟件,無需用戶操作。Triangulation 將私人信息傳輸給遠程服務器:麥克風錄音、即時通訊工具的照片、地理位置和其他一些活動的數據。Kaspersky 表示,Triangulation 與已知的 Pegasus、Predator 或 Reign 并沒有重疊,同時,禁用 iMessage 可防止 iOS 設備遭受 Triangulation 攻擊。[2023/6/5 21:16:45]
_exec函數的邏輯也很簡單,在校驗了_to地址后,直接就將data轉發到指定的_to地址上了。而通過對攻擊交易的分析,我們能發現這個_to地址確實是官方指定的合法地址。
芝商所首席經濟學家:美國或可避免衰退:金色財經報道,芝商所首席經濟學家兼總經理Bluford Putnam表示,所有推升通脹的原因都在慢慢得到解決,通脹正在回落,美國經濟將會放緩,但或可避免陷入衰退。他表示:“我同意軟著陸仍然很有可能實現,事實上這是最有可能的情況,但這個觀點存在很大爭議,因為美聯儲在盡可能地升高利率。要記住的是,從零開始加息時,前幾次加息,事實上一直到九月,都可以想象為開車時將腳從油門上移開,但并未真正踩下剎車。美聯儲直到現在才開始加息至我們認為的限制性利率區間,即開始踩下剎車,因此經濟將會放緩,但或許可以避免陷入衰退。”[2023/1/2 22:20:16]
最后一步,便是調用_to地址,也就是官方指定的AaveV2Proxy合約的initialize函數,將攻擊者自己的惡意地址設置成AaveV2Proxy合約的邏輯地址。通過對Furucombo合約的分析,可以發現整個調用流程上沒有出現嚴重的安全點,對調用的地址也進行了白名單的檢查。那么問題只能是出在了對應要調用的代理邏輯上,也就是AaveV2Proxy合約。
俄羅斯VTB銀行董事長:比特幣是假幣,數字貨幣出現不可避免:俄羅斯第二大銀行VTB董事長兼總裁Andrey Kostin表示,他不喜歡比特幣。他認為比特幣是假幣,并將加密挖礦技術比作中世紀罪犯偽造貨幣的方式。然而,他承認CBDC的推出是重要的,俄羅斯將很快開始數字盧布試驗。Kostin也承認世界正在走向數字化,數字貨幣的出現是不可避免的。然而,他堅持認為,這些應由央行控制。(U.Today)[2021/6/4 23:12:32]
我們直接分析AaveV2Proxy合約的initialize函數的邏輯:
可以看到initialize函數是一個public函數,并在開頭就檢查了_implementation是否是0地址,如果是0地址,則拋出錯誤。這個檢查的目的其實就是檢查了_implementation是否被設置了,如果被設置了,就無法再次設置。根據這個設置,不難想出initialize這個函數只能調用一次。除非AaveV2Proxy從來沒有設置過_implementation,否則這個調用是不會成功的。難道Furucombo真的沒有設置過對應的_implementation嗎?帶著這樣的疑問,我們檢查了交易內的狀態變化。如下:
聲音 | 楊東:構建以區塊鏈引入的雙向信息溝通機制,可避免“塔西佗陷阱”:據新京報消息,中國人民大學未來法治研究院金融科技研究中心主任楊東接受采訪時表示,我們的疫情預警體系在本次疫情中,暴露了信息傳遞失靈與專業介入無效兩個問題。信息傳遞失靈是指自下而上的信息匯集和傳遞機制“失靈”。專業介入無效是指缺乏專業信息進入決策的參考機制。因此從技術手段來講,可提高信息觸達的能力,并構建以區塊鏈引入、以“可信數據輸入系統”“Gossip傳播協議”“數字驗證機制”為核心的雙向信息溝通機制,可進而避免習總書記提醒全黨注意的的防止公信力缺失的“塔西佗陷阱”。[2020/2/21]
可以看到,交易中改變了存儲位置為0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc的內容,而寫入的內容正是攻擊者自己的惡意合約地址0x86765dde9304bea32f65330d266155c4fa0c4f04。
而0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc這個位置,正是_implementation數據的存儲地址。
也就是說,官方從來沒有設置過AaveV2Proxy合約的_implementation地址,導致攻擊者鉆了這個空子,造成了Furucombo資產損失。
總結
通過對整個事件的分析來看,Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。
建議
目前,由于Furucombo遭受攻擊,導致任何將代幣授權過給Furucombo合約(0x17e8ca1b4798b97602895f63206afcd1fc90ca5f)的用戶都將面臨資金損失的風險。
慢霧安全團隊建議與Furucombo交互過的用戶檢查是否有將相關代幣授權給Furucombo合約。如有授權,應及時撤銷相關授權,避免進一步損失。
**參考鏈接:**
代幣授權檢查地址:https://approved.zone/
攻擊交易:
__https://ethtx.info/mainnet/0x6a14869266a1dcf3f51b102f44b7af7d0a56f1766e5b1908ac80a6a23dbaf449
往期回顧
王者開局偶遇豬隊友——簡析AlphaFinance&Cream被黑
BitMart入駐慢霧區,發布「安全漏洞與威脅情報賞金計劃」
引介|一種安全的LP價格的獲取方法
千萬美元損失背后的閃電貸攻擊——yearnfinance被黑簡析
如何通過恒定乘積黑掉SushiSwap?簡析SushiSwap第二次被攻擊始末
慢霧導航
慢霧科技官網
https://www.slowmist.com/
慢霧區官網
https://slowmist.io/
慢霧GitHub
https://github.com/slowmist
Telegram
https://t.me/slowmistteam
https://twitter.com/@slowmist_team
Medium
https://medium.com/@slowmist
幣乎
https://bihu.com/people/586104
知識星球
https://t.zsxq.com/Q3zNvvF
火星號
http://t.cn/AiRkv4Gz
鏈聞號
https://www.chainnews.com/u/958260692213.htm
免責聲明:作為區塊鏈信息平臺,本站所發布文章僅代表作者個人觀點,與鏈聞ChainNews立場無關。文章內的信息、意見等均僅供參考,并非作為或被視為實際投資建議。
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布68篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/9726853.html
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
上一篇:
盤點零知識證明代表性項目:如何影響和塑造區塊鏈生態系統?
Tags:COMCOMBCOMBOUCOSafe Community Tokencombo幣發行價combo幣怎么樣kucoin交易平臺官網
2月26日,魚池(F2pool)發布了一篇文章,題為《站在歷史正確的一邊:EIP-1559》。文章提到,魚池將正式支持EIP-1559提案.
1900/1/1 0:00:00今天的封面是《雅各與天使格斗》,保羅·高更剛剛,雨神在圈子里發布了擼短信號,市場從46300上漲至47000,漲勢還會延續嗎?盤面下跌企穩,大餅重新站回MA30日均線附近.
1900/1/1 0:00:00辰逸炒幣入門獨家秘訣!新手必看 漁夫出海前,并不知道魚在哪里?可是他們還是選擇出發,因為他們相信自己會滿載而歸.
1900/1/1 0:00:00親愛的BitMax用戶:BitMax平臺將會根據“上幣項目管理規則”定期審核所有上幣項目,如有出現以下一種或者多種情形.
1900/1/1 0:00:00為了回饋UDOO首輪活動所有用戶的熱情參與,庫幣和Hyprr團隊決定再送出550,000UDOO的獎池.
1900/1/1 0:00:00頭條 ▌33億美元的比特幣期權于今日到期金色財經報道,價值約33億美元的比特幣期權今日到期,此外價值約6.13億美元的以太坊期權也于今日到期.
1900/1/1 0:00:00