此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
数字艺术家Beeple以113.69 ETH价格购买CryptoPunk 4593:8月2日消息,链上信息显示,数字艺术家 Beeple 于 11 小时前以 113.69 ETH 的价格购买了 CryptoPunk 4593。[2023/8/2 16:13:05]
修改owner
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
Damus:苹果应用商店将于本周二下架Damus,将继续提出上诉:金色财经报道,基于Nostr协议的开放社交应用Damus发推称,即使Damus已经更新了应用程序,明确表示用户付费后不会解锁任何数字内容,但苹果应用商店还是于周二下架Damus的决定没有变化,Damus将为此继续提出上诉。[2023/6/27 22:02:16]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
OKCoin 暂停通过电汇和 ACH 的美元存款:金色财经报道,OKCoin 首席执行官 Hong Fang 在推特上表示,OKCoin 暂停通过电汇和 ACH 的美元存款以及场外交易,订单簿交易、欧元存款、美元提款以及加密货币存取款不受影响。[2023/3/13 13:00:57]
欧洲Linux基金会启动OpenWallet基金会以支持可互操作的数字钱包:金色财经报道,致力于通过开源代码促进创新的非营利实体 Linux 基金会(欧洲)宣布启动 OpenWallet 基金会以支持开源钱包的开发。OpenWallet 的主要任务是开发一个安全的开源引擎,任何人都可以使用它来构建一个可互操作的数字钱包。OWF 和 Linux 基金会还发布了一份新报告,强调了更加开放的数字钱包生态系统的重要性,并指出 2021 年所有数字钱包交易的总价值为 15.9 万亿美元。[2023/2/23 12:25:30]
知情人士:美国司法部和监管机构已联系币安,欲了解FTX内部运作情况:11月11日消息,据一位知情人士透露,包括司法部在内的美国当局已经联系了币安,了解币安最近与FTX就潜在收购进行谈判的情况。该知情人士说,币安收到了美国金融监管机构以及欧洲监管机构的来信,要求币安高管透露他们本周了解到的FTX内部运作情况。 币安的尽职调查团队很快发现,FTX与交易公司Alameda Research的关系存在利益冲突,FTX的客户资金似乎被用于商业目的。
此外,FTX US总法律顾问Ryne Miller周三指示员工保存他们在FTX、FTX US、Alameda及其附属公司工作时产生的电子邮件、信息、笔记和文件。(CoinDesk)[2022/11/11 12:47:03]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。