?Multichain(AnySwap)此前一個影響6個跨鏈Token的關鍵漏洞被利用,導致被盜取445ETH。慢霧安全團隊分析了安全事件經過,
1.用戶可以通過Multichain的AnyswapV4Router合約進行資金跨鏈操作,在進行資金跨鏈時用戶需要將待跨鏈的代幣授權給AnyswapV4Router合約。??
2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函數。此函數允許用戶在鏈下進行授權簽名,鏈上驗證并授權的操作。在此函數中,其會先通過調用用戶傳入的Token地址的underlying函數來獲取underlying代幣地址(正常情況下用戶傳入的Token地址應該是anyToken,獲取underlying代幣應該是用戶要跨鏈的資產,如anyUSDT與USDT),隨后通過underlying代幣的permit函數進行簽名檢查與授權操作,授權完成后通過safeTransferFrom將代幣轉入anyToken合約中,最后通過_anySwapOut觸發事件。??
慢霧:Rubic協議錯將USDC添至Router白名單,導致已授權合約用戶USDC遭竊取:12月25日消息,據慢霧安全團隊情報,Rubic跨鏈聚合器項目遭到攻擊,導致用戶賬戶中的USDC被竊取。慢霧安全團隊分享如下:1. Rubic是一個DEX跨鏈聚合器,用戶可以通過RubicProxy合約中的routerCallNative函數進行Native Token兌換。在進行兌換前,會先檢查用戶傳入的所需調用的目標 Router是否在協議的白名單中。
2. 經過白名單檢查后才會對用戶傳入的目標Router進行調用,調用數據也由用戶外部傳入。
3. 不幸的是USDC也被添加到Rubic協議的Router白名單中,因此任意用戶都可以通過RubicProxy合約任意調用USDC。
4. 惡意用戶利用此問題通過routerCallNative函數調用USDC合約將已授權給RubicProxy合約的用戶的USDC通過transferFrom接口轉移至惡意用戶賬戶中。
此次攻擊的根本原因在于Rubic協議錯誤的將USDC添加進Router白名單中,導致已授權給RubicProxy合約的用戶的USDC被竊取。[2022/12/26 22:07:00]
3.但由于anySwapOutUnderlyingWithPermit函數中未檢查用戶傳入的token的合法性,且由于WETH代幣不存在permit函數的同時實現了fallback函數,而permit函數接口也恰好沒有返回值,因此在對WETH合約的permit函數進行調用時是不會拋出錯誤的。攻擊者正是利用此問題構造了惡意的Token地址,使得anySwapOutUnderlyingWithPermit函數獲取的underlying為WETH,將先前有將WETH代幣授權給AnyswapV4Router合約的用戶的WETH直接轉移到攻擊者惡意構造的Token地址中。??
慢霧:Crosswise遭受攻擊因setTrustedForwarder函數未做權限限制:據慢霧區情報,2022年1月18日,bsc鏈上Crosswise項目遭受攻擊。慢霧安全團隊進行分析后表示,此次攻擊是由于setTrustedForwarder函數未做權限限制,且在獲取調用者地址的函數_msg.sender()中,寫了一個特殊的判斷,導致后續owner權限被轉移以及后續對池子的攻擊利用。[2022/1/19 8:57:48]
此次主要是由于anySwapOutUnderlyingWithPermit函數未檢查用戶傳入的Token的合法性,且未考慮并非所有underlying代幣都有實現permit函數,導致用戶資產被未授權轉出。慢霧安全團隊建議:應對用戶傳入的參數是否符合預期進行檢查,且在與其他合約進行對接時應考慮好兼容性問題。??
動態 | 慢霧預警:競技類游戲 WinDice 遭遇回滾攻擊:根據慢霧威脅情報系統捕獲,今天下午 2、3 點,競技類游戲 WinDice 遭遇回滾攻擊。攻擊者通過部署攻擊合約 rep******net 攻擊項目方合約 windiceadmin,共獲利 300 多枚 EOS,目前攻擊者數個關聯賬號已列入慢霧 BTI 系統黑名單庫,慢霧安全團隊提醒類似項目方全方面做好合約安全審計并加強風控策略。[2019/2/4]
參考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d
據Coindesk報道,去中心化交易聚合平臺1inchNetwork完成1.75億美元B輪融資,AmberGroup領投.
1900/1/1 0:00:00DeFi平臺BadgerDAO在博客中披露了本月早些時候遭黑客攻擊導致1.2億美元被盜的細節。BadgerDAO表示,12月2日發生的網絡釣魚事件是由運行在Badger云網絡上的應用平臺Clou.
1900/1/1 0:00:00韓國互聯網巨頭Naver旗下NaverLabs首席執行官SeokSang-ok周三在Naver第14屆開發者大會Deview2021上表示:我們將很快推出Arcverse.
1900/1/1 0:00:00據forkast報道,韓國教育娛樂公司SmartStudy和PinkfongBabyShark的創造者宣布與數字藝術市場MakersPlace建立合作伙伴關系.
1900/1/1 0:00:00據Tech星球報道,B站正在測試相關元宇宙業務“高能鏈”。區塊鏈是打造元宇宙必不可少的底層技術,B站的元宇宙基于區塊鏈技術。據悉,高能鏈是為新應用、文化、游戲以及數字資產構建的數字原生社區.
1900/1/1 0:00:00DefiLlama統計的數據顯示,2021年100個NFT系列的總銷售額達到201.3億美元,這些NFT源自以太坊、Solana、Immutablex、BinanceSmartChain、Arb.
1900/1/1 0:00:00