慢雾分析Multichain被盗经过,合约一函数未检查用户传入Token的合法性_ANY:MANY币

?Multichain(AnySwap)此前一个影响6个跨链Token的关键漏洞被利用,导致被盗取445ETH。慢雾安全团队分析了安全事件经过,

1.用户可以通过Multichain的AnyswapV4Router合约进行资金跨链操作,在进行资金跨链时用户需要将待跨链的代币授权给AnyswapV4Router合约。??

2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函数。此函数允许用户在链下进行授权签名,链上验证并授权的操作。在此函数中,其会先通过调用用户传入的Token地址的underlying函数来获取underlying代币地址(正常情况下用户传入的Token地址应该是anyToken,获取underlying代币应该是用户要跨链的资产,如anyUSDT与USDT),随后通过underlying代币的permit函数进行签名检查与授权操作,授权完成后通过safeTransferFrom将代币转入anyToken合约中,最后通过_anySwapOut触发事件。??

慢雾:昨日MEV机器人攻击者恶意构造无效区块,建议中继运营者及时升级:金色财经报道,慢雾分析显示,昨日MEV机器人被攻击的问题原因在于即使信标区块不正确,中继仍将有效载荷(payload)返回给提议者,导致了提议者在另一个区块被最终确定之前就能访问区块内容。攻击者利用此问题,恶意构造了无效的区块,使得该区块无法被验证,中继无法进行广播(状态码为202)从而提前获得交易内容。mev-boost-relay昨日已紧急发布新版本缓解此问题,建议中继运营者及时升级中继。

据此前报道,昨日夹击MEV机器人的恶意验证者已被Slash惩罚并踢出验证者队列。[2023/4/4 13:43:37]

3.但由于anySwapOutUnderlyingWithPermit函数中未检查用户传入的token的合法性,且由于WETH代币不存在permit函数的同时实现了fallback函数,而permit函数接口也恰好没有返回值,因此在对WETH合约的permit函数进行调用时是不会抛出错误的。攻击者正是利用此问题构造了恶意的Token地址,使得anySwapOutUnderlyingWithPermit函数获取的underlying为WETH,将先前有将WETH代币授权给AnyswapV4Router合约的用户的WETH直接转移到攻击者恶意构造的Token地址中。??

慢雾:警惕高危Apache Log4j2远程代码执行漏洞:据慢雾安全情报,在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。[2021/12/10 7:30:00]

此次主要是由于anySwapOutUnderlyingWithPermit函数未检查用户传入的Token的合法性,且未考虑并非所有underlying代币都有实现permit函数,导致用户资产被未授权转出。慢雾安全团队建议:应对用户传入的参数是否符合预期进行检查,且在与其他合约进行对接时应考虑好兼容性问题。??

动态 | 慢雾:10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示,过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击,手法包括但不限于:第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施,例如:1. 密切注意第三方 JS 链接风险;2. 提币地址应为白名单地址,添加时设置双因素校验,用户提币时从白名单地址中选择,后台严格做好校验。此外,也要多加注意内部后台的权限控制,防止内部作案。[2019/11/1]

参考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-0:890ms