慢霧：跨鏈 DEX 聚合器 Transit Swap 因任意外部調用問題被黑，被盜資金規模超 2300 萬美元_OMA

據慢霧安全團隊情報，2022年10月2號跨鏈DEX聚合器TransitSwap項目遭到攻擊，導致用戶資產被非預期的轉出。

慢霧安全團隊分析評估此次被盜資金規模超過2300萬美元，黑客地址為0x75F2...FD46和0xfa71...90fb。接著對此次攻擊過程進行了分析：

1.當用戶在TransitSwap進行swap時，會先通過路由代理合約(0x8785bb...)根據不同的兌換類型選擇不同的路由橋合約。隨后路由橋合約(0x0B4727...)會通過權限管理合約(0xeD1afC...)的claimTokens函數將用戶待兌換的代幣轉入路由橋合約中。因此在代幣兌換前用戶需要先對權限管理合約(0xeD1afC...)進行授權。

慢霧：Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道，據慢霧消息，Grafana發布嚴重安全提醒，其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128)，目前PoC在互聯網上公開，已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺，用戶配置連接的數據源之后，Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上，配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時，這可能會使Grafana賬戶被接管和認證繞過。其中，Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況，請注意風險，并將Grafana升級到最新版本。[2023/6/25 21:58:31]

2.而claimTokens函數是通過調用指定代幣合約的transferFrom函數進行轉賬的。其接收的參數都由上層路由橋合約(0x0B4727...)傳入，本身沒有對這些參數進行任何限制只檢查了調用者必須為路由代理合約或路由橋合約。

慢霧：跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息，據慢霧區消息，跨鏈互操作協議Nomad橋遭受黑客攻擊，導致資金被非預期的取出。慢霧安全團隊分析如下：

1. 在Nomad的Replica合約中，用戶可以通過send函數發起跨鏈交易，并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根，其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時，先將可信根設置為0，隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0，這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息，由于未經過prove因此此消息映射返回的根是0，而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效，導致了攻擊者任意構造的消息可以正常執行，從而竊取Nomad橋的資產。

綜上，本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0，且在進行可信根修改時并未將舊根失效，導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

3.路由橋合約(0x0B4727...)在接收到用戶待兌換的代幣后會調用兌換合約進行具體的兌換操作，但兌換合約的地址與具體的函數調用數據都由上層路由代理合約(0x8785bb...)傳入，路由橋合約并未對解析后的兌換合約地址與調用數據進行檢查。

慢霧：去中心化期權協議Acutus的ACOWriter合約存在外部調用風險:據慢霧區消息，2022年3月29日，Acutus的ACOWriter合約遭受攻擊，其中_sellACOTokens函數中外部調用用到的_exchange和exchangeData參數均為外部可控，攻擊者可以通過此漏洞進行任意外部調用。目前攻擊者利用該手法已經盜取了部分授權過該合約的用戶的資產約72.6萬美金。慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜風險。[2022/3/29 14:25:07]

4.而代理合約(0x8785bb...)對路由橋合約(0x0B4727...)傳入的參數也都來自于用戶傳入的參數。且代理合約(0x8785bb...)僅是確保了用戶傳入的calldata內各數據長度是否符合預期與所調用的路由橋合約是在白名單映射中的地址，未對calldata數據進行具體檢查。

5.因此攻擊者利用路由代理合約、路由橋合約與權限管理合約均未對傳入的數據進行檢查的缺陷。通過路由代理合約傳入構造后的數據調用路由橋合約的callBytes函數。callBytes函數解析出攻擊者指定的兌換合約與兌換數據，此時兌換合約被指定為權限管理合約地址，兌換數據被指定為調用claimTokens函數將指定用戶的代幣轉入攻擊者指定的地址中。實現了竊取所有對權限管理合約進行授權的用戶的代幣。

此次攻擊的主要原因在于TransitSwap協議在進行代幣兌換時并未對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題。攻擊者利用此任意外部調用問題竊取了用戶對TransitSwap授權的代幣。

截止到目前，黑客已將2,500BNB轉移到TornadoCash，剩余資金分散保留在黑客地址中。經過黑客痕跡分析發現，黑客存在從LATOKEN等平臺存提款的痕跡。慢霧MistTrack將持續跟進被盜資金的轉移以及黑客痕跡的分析。

參考攻擊交易：

https://bscscan.com/tx/0x181a7882aac0eab1036eedba25bc95a16e10f61b5df2e99d240a16c334b9b189

https://etherscan.io/tx/0x743e4ee2c478300ac768fdba415eb4a23ae66981c076f9bff946c0bf530be0c7

Tags：FANTRAOMA0X0PowerFanCoTraderOMA價格0X0價格

以太坊價格今日行情