安全實驗室?監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊,損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析。
攻擊涉及基礎信息
Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f
Superduper聯創:當前形式的“NFT無法擴展”:金色財經報道,在今年的NFC上,Web3媒體品牌Superduper Dom Smith創始人強調,讓NFT得到大規模采用并不容易。大品牌渴望進入該領域,他們只是不知道如何進入。然而,實現這一目標需要考慮三個主要因素。首先,他們考慮NFT如何顛覆娛樂業。其次是用戶體驗(UX),第三是公眾認知。[2023/6/15 21:37:43]
攻擊交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67
跨鏈預言機解決方案SupraOracles與數字運動鞋交易平臺Another-1達成合作:金色財經消息,跨鏈預言機解決方案SupraOracles宣布與Another-1達成合作,后者是一個數字資產和運動鞋行業所有權平臺。
據介紹,Another-1是第一個基于Cosmos SDK的實體和數字產品交易平臺,其代幣經濟學設計用于獎勵持有者和質押者,幫助運動鞋迷獲得限量版商品。此外,它將通過區塊鏈技術優化交易時間和認證流程。[2022/4/9 14:14:40]
黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090
Superfluid上線Optimism和Arbitrum測試網:12月16日消息,流式數字資產協議協議 Superfluid 宣布,現已分別上線 Optimism 和 Arbitrum 測試網,將于未來上線 Optimism 和 Arbitrum 主網。目前,用戶已經可以和 Optimism 和 Arbitrum 生態內應用進行測試性交互,Superfluid 合約將完全兼容。據悉,Superfluid 可以創建支付流,實時不間斷地支付資金,而不必等待交易完全確認。Superfluid 此前已在以太坊、Polygon 和 xDAI 主網上運行。[2021/12/16 7:43:52]
攻擊合約地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4
此次漏洞核心在于函數callAgreement,該函數主要作用在于提供一個名為"ctx"的數據結構,“ctx”被用于協議間的通信共享。而此次事件的攻擊者就是對”ctx“數據進行了偽造,達到欺騙合約的目的。
漏洞利用
為什么假數據會被采用以及攻擊者是如何構造假“ctx”數據的?
從交易中可以看到攻擊者是直接在callData結尾處傳入了假“ctx”,同時真“ctx”數據也被構建出來了的,只是程序在處理數據時會將callData數據與“ctx”打包成一個對象,當協議對該對象進行解碼時,ABI解碼器僅會處理位于前面的數據而忽略掉后面的數據。
而構建一個假“ctx”數據也并不復雜,由于“ctx”結構末尾為全零所以僅需要仿照“ctx”結構將其直接添加在userData中,以下是官方示例如何構建一個假“ctx”:
總結
本次攻擊事件在于協議數據處理時無條件信任來源數據,應當對用戶數據與官方構造數據進行標識區分。近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
據CoinDesk2月10日消息,根據區塊鏈研究公司Chainalysis的一份新報告,2021年,勒索軟件支付的平均規模創下歷史新高.
1900/1/1 0:00:00元宇宙是一種沉浸式的互聯網虛擬現實體驗,它使用區塊鏈技術和NFT來支付和擁有在線物品。例如,當你在游戲中進行購買時,你實際上擁有該物品,并可以持有、交易或出售.
1900/1/1 0:00:00尊敬的WEEX用戶您好! WEEX合約關于 用戶參與合約交易必然產生交易盈虧,盈虧分兩種——因持倉產生的未實現盈虧與因平倉產生的已實現盈虧.
1900/1/1 0:00:00原文作者:吳卓鋮 原文編輯:ColinWu多數投資者喜歡追蹤項目的融資信息,以此作為項目資質的評判標準.
1900/1/1 0:00:00尊敬的XT用戶: XT.COM現已開放NEAR充值與提幣業務。給您帶來的不便,敬請諒解。感謝您對XT.COM的支持與信任!XT.COM團隊2022年2月11日Web3錢包追蹤應用Context完.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線ALI,並開啟ALI/USDT交易對。具體上線時間如下: 充值:已開啟; 交易:2022年2月16日16:30; ALI 項目簡介:AletheaAI正在構建.
1900/1/1 0:00:00