區塊鏈安全月報——盤點解析 1 月典型安全事件_區塊鏈:Tokenoid

此篇文章由Cobo區塊鏈安全研究團隊供稿，是?Cobo?Labs?的第??4??篇文章。

跨鏈橋Multichain漏洞

1月18日知名跨鏈橋Multichain發現并修復了一個針對WETH,PERI,OMT,WBNB,MATIC,AVAX共6種代幣有重要影響的漏洞。凡對MultichainRouter授權過上述代幣的用戶均受影響，攻擊者可直接利用漏洞轉走用戶授權的代幣。根據19日的官方公告，由于部分用戶未及時取消授權，有約445WETH被攻擊者盜走。

漏洞發生在AnyswapV4Router合約上的anySwapOutUnderlyingWithPermit函數中，由于函數對Token參數的合法性沒有校驗，攻擊者可傳入偽造的Token合約來代替原本官方的AnyswapV1ERC20?Token。另一方面WETH等代幣合約沒有實現permit方法但是實現了fallback函數，因此在后續調用permit時不會發生revert，可以繼續成功執行下去。最終導致攻擊者可以將受害者approve給AnyswapV4Router合約的Token盜走。

關鍵代碼如下：

區塊鏈安全公司Hexens完成420萬美元種子輪融資:10月11日消息，區塊鏈安全公司Hexens宣布完成420萬美元種子輪融資，IOSG Ventures領投，Delta Blockchain Fund、ChapterOne VC、Hash Capital、ImToken Ventures、Tenzor Capital，以及一批來自Polygon和其他區塊鏈項目的天使投資人參投。

據悉，Hexens于2021年成立，其正在構建的產品有可能成為區塊鏈領域每個開發人員和安全研究人員的標準工具包，提升基礎設施審計、零知識證明/新型密碼學、DeFi、NFT等領域安全并推動Web3大規模采用。（Cryptonews）[2022/10/11 10:31:14]

CoboComment

對于普通用戶來說，需要特別留意Token無限授權所帶來的風險。授權盡可能保證只授權用到的Token數量，而不要使用默認的無限授權，避免節約了gas卻丟失了本金。對已有的無限授權要及時撤銷，查詢賬戶的授權情況可以使用Etherscan的工具https://etherscan.io/tokenapprovalchecker。

Reference

https://github.com/W2Ning/Anyswap_Vul_Poc

國家檔案局副局長：推動區塊鏈技術應用與檔案信息化轉型升級:7月15日，“區塊鏈技術應用與檔案信息化轉型升級”學術論壇在安徽省馬鞍山市舉行。開幕式上，國家檔案局副局長、中央檔案館副館長付華發表了講話。他表示，近年來，國家檔案局通過政策引導、研究支撐和實踐探索，不斷推動區塊鏈等新一代信息技術在檔案管理中的運用，但目前仍存在檔案信息化水平不夠高、服務供給與各界期待有差距等問題。檔案部門要進一步提高認識、搶抓機遇，加大新一代信息技術應用探索；要明晰檔案信息化轉型升級思路，強化頂層設計，解決具體問題；要重視新技術應用中的檔案安全問題，積極探索、穩慎推進，有序推動檔案事業發展；要充分發揮政府、高校、企業、用戶等各方作用，共同推動區塊鏈技術應用與檔案信息化轉型升級。（新浪網）[2021/7/20 1:04:54]

https://theblockbeats.info/news/28774

https://hackernoon.com/erc20-infinite-approval-a-battle-between-convenience-and-security-lk60350r

BSC上的DEXCrosswise遭攻擊

1月18日BSC上的DEX項目Crosswise遭受攻擊，損失約30萬美金，并造成CRSSToken幣價閃崩。

李鳴：區塊鏈技術有很多好處 但也有很多問題:10月23日，由華夏時報、水皮雜談、華夏時報金融研究院聯合主辦的“探索變革、服務產業——2020華夏時報產業區塊鏈峰會”在北京嘉里酒店舉行，中國電子技術標準化研究院研究室主任李鳴出席并發表演講。李鳴：區塊鏈有很多好處，也有很多問題。

第一個問題就是監管，監管的問題最典型的ICO，第二個是違法信息上鏈，好的信息上鏈不能篡改是好事，不好的信息上鏈去不掉，這也是很麻煩，它會對社會造成很大的負面影響。

第二個就是安全，區塊鏈來自于安全，但是它也是一個軟件，它也有安全的問題，比如說智能合約的漏洞，智能合約是在預設好的條件，前提條件一觸發了就按照既定的規則運行，它里面是程序，是程序就會被黑客入侵，黑客把智能合約入侵之后，這個執行的過程中沒有任何干預的。現在消費信息結算是安全了，但是也存在著安全問題。還有一個就是算力集中，比如剛剛我跟朱老師發生了交易，很多房間里的人來作證說是1塊錢不是100塊錢，如果我要有充足的利益，如果我買通這個屋的一半人這就是算力集中，這又會出現問題，它來自安全又有安全的問題。

第三個是商業模式，比如說我認為這個教育上可以認證、司法上可以作為司法證據，但是真正解決權利認證的問題嗎？靠區塊鏈未必，我希望未來能看到更多的區塊鏈商業技術模式的出現，比如說現在搞區塊鏈技術、做區塊鏈項目，大部分都是軟件開發的項目，比如說我請一個外部公司給我做一個區塊鏈系統，其實這是軟件開發項目，這不是區塊鏈項目。現在的商業模式基本是沒有。

第四個是技術體系，現在大部分的公有鏈是基于以太網，聯盟鏈也是如此，洗得干凈的不是原來的代碼，洗得不干凈就是原來的代碼，我們需要在技術體系上有我們真正的原創。（新浪財經）[2020/10/23]

問題是因MasterChef合約的setTrustedForwarder函數沒有正確進行權限校驗。當攻擊者修改了TrustedForwarder后，可以實現偽造msg.sender的效果，從而直接獲取到MasterChef的owner權限。然后再利用owner權限調用set函數設置?strategy為攻擊者的惡意參數0xccddce9f0e241a5ea0e76465c59e9f0c41727003。修改strategy后通過少量deposit即可withdraw大量的CRSSToken獲利。

動態 | 火幣大學全球區塊鏈領導者課程畢業大課暨畢業典禮在上海舉行:金色財經獨家現場報道，10月26日，火幣大學全球區塊鏈領導者課程畢業大課暨畢業典禮在上海舉行。屆時，火幣集團董事長兼CEO，火幣中國CEO、火幣研究院院長袁煜明，火幣大學校長于佳寧、數字資產研究院副院長孟巖將于現場見進行主題分享，金色財經作為獨家受邀媒體將會對此會議進行全程報道，敬請關注。[2019/10/26]

官方公告也承認這個漏洞過于明顯，似乎是開發者有意為之，其內部調查后開除了4個開發者。目前已經對鏈上數據進行了快照，后續將進行重新部署。官方git上已經開始進行整體的代碼審計，據稱后續會再聯合Certik進行審計。

相關代碼如下：

官方公告也承認這個漏洞過于明顯，似乎是開發者有意為之，其內部調查后開除了4個開發者。目前已經對鏈上數據進行了快照，后續將進行重新部署。官方git上已經開始進行整體的代碼審計，據稱后續會再聯合Certik進行審計。

CoboComment

此次攻擊針對的是MasterChef合約，其實不會直接盜取用戶的LP或者CRSStoken，但幣價大跌還是會讓持有CRSS的用戶造成實際的損失。查看官方doc上無法找到項目審計報告，此漏洞比較明顯，如果經過安全公司審計的話，很大概率可以暴露出來。對于個人投資者來說，未經過審計的項目還需謹慎。

金色財經現場報道，天馳君泰律師事務所高級合伙人孫志勇：區塊鏈生態的基礎要素分為三個要素:金色財經現場報道，天馳君泰律師事務所高級合伙人孫志勇在GoldenBlock 共識·鏈上未來論壇上表示，區塊鏈生態的基礎要素分為三個要素，第一個為外部賦能，這包括初始社群，團隊等；二是內部價值，如相對傳統商業的價值提升，或者創造新的價值；三是自身演進的機制，從邏輯自洽，到Token的閉環、流暢、穩定負反饋機制，以及共有、共治、共享的機制。[2018/4/10]

Reference

https://twitter.com/peckshield/status/1483340900398895105

https://crosswise.medium.com/post-exploit-update-2a24c3370466

https://bscscan.com/address/0x70873211cb64c1d4ec027ea63a399a7d07c4085b#code

https://github.com/crosswise-finance/crosswise-code-review-1.1

Rari#90即FloatProtocolPool遭受預言機操縱攻擊

1月15日，RariCapital上的90號池即FloatProtocol池遭受預言機操縱攻擊。

該池使用UniswapV3FLOAT/USDC交易對報價，而在攻擊發生之前幾天，FLOAT/USDC池中流動性下降，低流動性給了攻擊者進行進行預言機操縱攻擊的機會。攻擊者使用47ETH在池中使用USDC兌換FLOAT，導致FLOAT報價升高。之后再使用FLOAT抵押到Rari#90池中借出其他資產實現獲利。攻擊手法與2021年11月發生的Rari#23池VesperLendBeta攻擊一致。

CoboComment

對于一些無法使用ChainLink預言機報價的小幣種，DeFi合約中通常會使用DEX作報價。目前UniswapV2/V3延時報價雖然可以抵抗閃電貸攻擊，但無法抵抗真實的大資產操縱；而TWAP時間加權機制雖然可以在一定程度上提高操縱難度，但只能緩解不能根除。從開發者角度，可以考慮在合約中添加一定風控類代碼針對惡意報價進行檢查。對普通用戶而言，則要留意相關的流動性池，提防價格操縱風險。

Reference

https://twitter.com/FloatProtocol/status/1482184042850263042

https://medium.com/vesperfinance/on-the-vesper-lend-beta-rari-fuse-pool-23-exploit-9043ccd40ac9

DefiDollar發現潛在攻擊

1月8日DefiDollarFinance(

漏洞本身雖然嚴重但成因并不復雜，比較有意思的是官方的修復方式。由于合約本身不支持升級，因此無法直接更新合約代碼；合約不支持暫停，因此也沒法用快照+遷移的方式轉移用戶資產。最終官方的措施是自己發動了攻擊交易，將所有受漏洞影響用戶的資產轉移到了一個多簽錢包中。待后面部署新Token合約后會再行分配。

CoboComment

ERC20Token已經有比較成熟的代碼模板，wxBTRFLY是在重寫transferFrom時出現的問題。這個問題如果有完善的單元測試應該會很容易發現，項目方可能在開發過程中是缺少完善的測試流程。

Reference

https://discord.com/invite/rpkPDR7pVV

https://twitter.com/redactedcartel/status/1482497468713611266?s=20

https://etherscan.io/tx/0xf0e4ccb4f88716fa5182da280abdb9ea10ec1c61cfc5bbe87e10bdde07c229d6

Qubit跨鏈橋被攻擊

1月28日，BSC上的DeFi平臺QubitFinance的跨鏈橋QBridge遭受攻擊，損失約8000萬美金。

跨鏈橋一種常見的實現形式是在源鏈的合約中抵押資產，并emitevent。由監聽節點捕捉event，向目標鏈的跨鏈橋合約發起調用，mint等量的資產。來源鏈上只要有event事件產生，跨鏈橋系統就會認為有跨鏈資產需要轉移。但如果源鏈上跨鏈橋合約代碼存在問題，就可能出現沒有資產抵押進跨鏈橋合約但仍emitevent的情況，產生漏洞，造成目標鏈Token的錯誤增發。

QBridge就存在這樣的問題。QBridge支持抵押ETH和ERC20Token兩類資產。由于以太坊的ETH作為native代幣，與ERC20Token由兩套單獨的代碼處理。在源鏈抵押Token時，會調用deposit方法，在抵押時ETH應該調用depositETH方法。QBridge將零地址作為ETH的標識。但是實現時沒有完善的校驗，導致合約處理ETH時仍使用deposit方法，相當于將ETH當成了合約地址為零地址的Token處理。在轉賬時使用transferFrom則相當于是對零地址進行合約調用。而以太坊底層設計上，對EOA地址發起合約調用會默認成功，不會revert。以上條件結合起來，最終的情況就是雖然攻擊者在源鏈沒有抵押任何資產，但仍可以在目標鏈上mint出大量qXETH，實現獲利。

CoboComment

目前區塊鏈行業中多鏈并存，跨鏈橋已經是重要的基礎設施。跨鏈橋本身由于要進行鏈上鏈下配合，整體復雜度要比普通dapp高上許多，因此更容易出現問題。同時跨鏈橋上通常會抵押大量的資產，如果可以非法轉移那么獲利頗豐。各個跨鏈橋系統似乎成為了攻擊者們最近一兩月中的重點目標。

Reference

https://mp.weixin.qq.com/s/PLbuI9JFxyFRlDlj9rPvmQ

https://mp.weixin.qq.com/s/-kTsAs2WH5_4N4_3-XIxag

Tags：區塊鏈TOKTOKENKEN區塊鏈幣圈幣種知識大全DOGES TokenTokenoidFuturov Governance Token

以太坊價格