創宇區塊鏈｜小缺陷大損失 GYM Network 何至于此_GYM

前言

北京時間2022年6月8日，知道創宇區塊鏈安全實驗室?自動數據監測工具監測到BSC鏈上NFT項目GYMNetwork因"PublicdepositFromOtherContract"權限控制問題被攻擊，損失包括7475枚BNB，共計約216W美元，目前已將兌通過DEX換70W美元的ETH通過Celer跨鏈到以太坊，2000枚BNB利用BSC-Tornado進行混幣，余下3000枚BNB在攻擊者地址。

知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

基礎信息

被攻擊合約：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

伊朗議會警告伊朗央行：CBDC項目非法且違憲，必須停止:金色財經報道，伊朗議會的第90條委員會發言人Ali Khezrian在接受伊朗議會通訊社采訪時提到了第 90 條委員會關于數字貨幣項目的會議，并表示，根據現行的貨幣和銀行法，央行進入數字貨幣項目沒有法律依據。中央銀行應該停止目前進入數字貨幣領域的進程。

Khezrian強調，現有的貨幣和銀行法中沒有任何地方允許中央銀行進入數字貨幣領域或以任何方式發行非實物貨幣。因此，第 90 條委員會堅持要求中央銀行提供這方面的法律文件，同時停止當前程序。[2023/6/2 11:53:51]

攻擊者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻擊合約：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

輕量級區塊鏈Mina推出生態首個DEX項目LuminaDEX，將支持zkKYC:5月17日消息，據官方消息，輕量級區塊鏈 Mina 推出生態首個 DEX 項目 LuminaDEX，該項目將支持 zkKYC，從而實現合規和可擴展的 DeFi。[2023/5/17 15:08:31]

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合約:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

項目方在GymSinglePool合約中實現過程中對于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函數缺少了權限控制，導致攻擊者能夠通過該函數調用內部_autoDeposit函數實現零消耗質押：

基于Solana的Exchange.Art將推出生成藝術NFT平臺Code Canvas:3月8日消息，基于Solana的數字藝術市場Exchange.Art背后的團隊表示，他們將推出一個生成藝術NFT平臺。該平臺名為Code Canvas，允許創作者和收藏家在Solana區塊鏈上鑄造和交易生成藝術NFT。與基于以太坊的生成藝術平臺Art Blocks類似，Code Canvas將進行初級發行，以及基于Solana的生成藝術NFT的二次銷售。（coindesk）[2023/3/8 12:50:08]

對于應該開放給用戶的質押內部函數是_deposit函數，該函數實現了對于token的審批傳入，如下圖所示：

與“以太坊合并”的相關推文已有65萬條:金色財經報道，據推特數據顯示，截止目前，與“以太坊合并”的相關推文已經有65萬條。此外，財富雜志發布了“以太坊合并”的話題頁，并置頂了該條推文。[2022/9/15 6:58:04]

對應的_autoDeposit函數則實現了"特權"質押，即不需要轉入Token進行質押。同時該函數直接暴露給了用戶，函數對比如下：

攻擊流程

攻擊者為了防止鏈上MEV和搶跑機器人，將合約進行了分步部署執行，同時部署/調用了多次以完成對GymNetwork合約(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽離，以其中一筆部署調用為例：

Kyber Network：攻擊者在9月6日前返還資金可獲得15%漏洞賞金，否則將采取下一步行動:金色財經消息，鏈上流動性協議Kyber Network發推稱，這是最后一次對攻擊者的公開聲明，團隊一直在收集所有可以追溯到攻擊者的數據和日志，并正在與合作伙伴、安全專家和執法部門合作，采取下一步行動。攻擊者若在GMT+7時間9月6日17:00（北京時間9月7日17:00）前通過中心化交易所返還資金可獲得15%漏洞賞金。

此前消息，KyberSwap于9月2日程其前端遭到攻擊，兩個地址共損失26.5萬美元，幣安安全團隊于9月3日表示已確定了兩名攻擊KyberSwap的嫌疑人。[2022/9/5 13:09:47]

1.部署合約后調用depositFromOtherContract實"特權"質押，對應0xfd4a2266方法：

內部調用細節如下:

2.調用0x30649e15實現對上一步特權質押的Token回撤：

3.利用0x1d111d13函數售出獲取到的的GYM-Token：

重復多次"特權"質押--回撤--售出步驟，攻擊者最終獲取到7475枚BNB:

為了抑制搶跑，攻擊者將添加質押和回撤進行了步驟分離，兩個步驟均為核心操作，同時刻意提高添加部分步驟的GasPrice為15/20gwei,可見攻擊者是有意為之。

溯源處置

本次攻擊原因是項目方實現的特權函數權限控制不當，在攻擊發現的1小時后項目方將GymSinglePool代理合約的邏輯合約進行了多次修改，為其添加了權限控制：

并在20分鐘后對邏輯合約添加了緊急賬戶處置函數：

而對于項目方Deployer地址分析，其部署的多個GymSinglePool合約根據追蹤僅在兩天前部署的GymSinglePool合約中存在漏洞，4天前的合約則不存在此函數：

同時代理合約對應的邏輯合約被升級為漏洞合約的事件發生在在2days13hrsago：

攻擊者的資金準備(FromTornado)則在約6小時以前，攻擊者的身份也值得令人深思。

總結

雖然只是一處小的控制缺陷，卻導致了數百萬美元的損失。項目方的處置雖較為及時，漏洞導致的損失卻難以挽回。該類型漏洞在審計過程中很容易被發現并將歸納到邏輯缺陷/不安全的外部調用，各項目方在開發和審計流程上切莫大意。

來源：金色財經

Tags：GYMDEPDEPOPOSGYMNET價格DEPAYposi幣最新消息

ETH