据慢雾安全团队监测,ETH链上的brahTOPG项目遭到攻击,攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下:
1.攻击者首先查询了受害用户0x392472的余额,接着调用了Zapper合约的zapIn函数。
声音 | 谷燕西:Libra未来非常可能的调整就是基于单一法币首先推出:1月4日消息,CBX研究院院长谷燕西今日在社群中针对Libra发表了三个观点:1.Libra一开始就将项目目标变得过大,这是他遇到目前巨大阻力的主要原因;2.Libra从一开始概念酝酿,就一直在不停地调整。现在依然在调整的过程中。未来非常可能的调整就是基于单一法币首先推出,但同时会在技术底层方面支持发行基于其它法币的数字稳定币;3.作为一个技术底层,Libra区块链的推出不会有什么障碍。[2020/1/4]
2.首先函数会为合约转账requiredToken参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。
动态 | Brave使用BAT代币奖励用户观看广告:据cointelegraph报道,去中心化浏览器Brave今天宣布推出Brave Ads服务,让用户通过观看广告获得BAT奖励,用户可获得70%的广告收入份额。此外,该公司还表示正在与慈善相关的区块链咨询公司The Giving Block以及无党派非营利组织The Human Right Foundation合作。[2019/4/25]
3.接着会调用内部函数zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。
声音 | 眼镜蛇Cobra:BTC不需要进行更多的硬分叉:据bitcoinexchangeguide消息,比特币官方论坛Bitcoin.org持有人眼镜蛇Cobra在推特上表示,BTC不需要更多的分叉来减少区块的大小,任何区块大小的改变都会分裂社区。[2019/2/13]
4.之后会外部调用假代币合约的approve函数,该函数为攻击者恶意构造,是为了给Zapper合约转账frax代币,此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。
5.最后外部调用了swapTarget参数所指定的合约,并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。
6.攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的USDC代币约889,343枚。
此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。