慢霧：Punk Protocol被攻擊因其CompoundModel合約Initialize函數未做重復初始化檢查_STA:FOR

據慢霧區消息，去中心化年金協議PunkProtocol在公平啟動的過程中遭遇攻擊，慢霧安全團隊以簡訊形式將攻擊原理分享如下：

1.攻擊者調用CompoundModel合約的Initialize函數進行重復初始化操作，將合約Forge角色設置為攻擊者指定的地址。

慢霧：遠程命令執行漏洞CVE-2023-37582在互聯網上公開，已出現攻擊案例:金色財經報道，據慢霧消息，7.12日Apache RocketMQ發布嚴重安全提醒，披露遠程命令執行漏洞（CVE-2023-37582）目前PoC在互聯網上公開，已出現攻擊案例。Apache RocketMQ是一款開源的分布式消息和流處理平臺，提供高效、可靠、可擴展的低延遲消息和流數據處理能力，廣泛用于異步通信、應用解耦、系統集等場景。加密貨幣行業有大量平臺采用此產品用來處理消息服務，注意風險。漏洞描述：當RocketMQ的NameServer組件暴露在外網時，并且缺乏有效的身份認證機制時，攻擊者可以利用更新配置功能，以RocketMQ運行的系統用戶身份執行命令。[2023/7/14 10:54:22]

2.隨后攻擊者為了最大程度的將合約中資金取出，其調用了invest函數將合約中的資金抵押至Compound中，以取得抵押憑證cToken。

慢霧：Gate官方Twitter賬戶被盜用，謹慎互動:10月22日消息，安全團隊慢霧發文稱：加密平臺Gate官方Twitter賬戶被盜用，謹慎互動。半小時前，攻擊者利用該賬戶發文，誘導用戶進入虛假網站連接錢包。此外，慢霧科技創始人余弦在社交媒體上發文表示：注意下，Gate官方推特應該是被黑了，發送了釣魚信息，這個網址 g?te[.]com 是假的（之前談過的 Punycode 字符有關的釣魚域名），如果你去Claim會出現eth_sign這種簽名釣魚，可能導致ETH等相關資產被盜。[2022/10/22 16:35:14]

3.最后攻擊者直接調用withdrawToForge函數將合約中的cToken轉回Compound獲取到對應的底層資產并最終將其轉給Forge角色。

慢霧：GenomesDAO被黑簡析:據慢霧區hacktivist消息，MATIC上@GenomesDAO項目遭受黑客攻擊，導致其LPSTAKING合約中資金被非預期的取出。慢霧安全團隊進行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合約的initialized函數公開可調用且無權限與不可能重復初始化限制，攻擊者利用initialized函數將合約的stakingToken設置為攻擊者創建的虛假LP代幣。

2.隨后攻擊者通過stake函數進行虛假LP代幣的抵押操作，以獲得大量的LPSTAKING抵押憑證。

3.獲得憑證后再次通過initialized函數將合約的stakingToken設置為原先真是的LP代幣，隨后通過withdraw函數銷毀LPSTAKING憑證獲取合約中真實的LP抵押物。

4.最后將LP發送至DEX中移除流動性獲利。

本次事件是因為GenomesDAO的LPSTAKING合約可被任意重復初始化設置關鍵參數而導致合約中的抵押物被惡意耗盡。[2022/8/7 12:07:06]

4.withdrawToForge函數被限制只有Forge角色可以調用，但Forge角色已被重復初始化為攻擊者指定的地址，因此最終合約管理的資產都被轉移至攻擊者指定的地址。

總結：本次攻擊的根本原因在于其CompoundModel的Initialize函數未做重復初始化檢查，導致攻擊者直接調用此函數進行重復初始化替換Forge角色，最終造成合約管理的資產被盜。

Tags：STASTAKAKIFORSTARC幣stake幣圈Liquid Staking DerivativeVouchForMe

MANA