比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

惡意初始化:Punk Protocol被黑事件分析_ORG

Author:

Time:1900/1/1 0:00:00

8月10日,去中心化年金協議?PunkProtocol遭到攻擊,損失890萬美元,后來團隊又找回了495萬美元。

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,攻擊原因在于投資策略中找到了一個關鍵漏洞:CompoundModel代碼中缺少初始化函數的修飾符的問題,可以被重復初始化。希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

一、事件分析

黑客1的兩筆攻擊交易:

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

安全團隊:MEV bot以太坊上地址遭到惡意利用,損失約1.6萬美元:金色財經消息,據CertiK安全團隊監測,北京時間2022年5月25日9:58:59,MEV bot以太坊上0x85e5c6cffd260a7f153b1f34b36f6dbeba3e279e地址遭到惡意利用,導致了價值約1.6萬美元的資產損失。[2022/5/25 3:40:35]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

黑客2的兩筆攻擊交易

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

黑客利用惡意軟件Glupteba從比特幣區塊鏈中獲取秘密消息:Sophos Labs研究人員發現第一起利用比特幣的區塊鏈與指揮控制(C&C)中心通信的劫持代碼案件。“比特幣的‘交易’實際上并不一定是關于錢的—它們可以包括名為RETURN(也稱為OP_RETURN)的字段,這實際上是一個長達80個字符的備注。”這正是黑客在這種情況下所做的事情(如圖所示),返回的是一條加密的秘密消息,需要256位AES解密密鑰,該密鑰被編碼到Glupteba惡意軟件程序中。

Sophos研究人員已經進行解密,顯示一個域地址,這個地址就是隱藏在人們視線中的指揮和控制中心。他們表示,“這種‘隱藏在明處’的方式通常被稱為隱寫術。”目前還不清楚讓黑客知道是否是好的,因為現在他們可以把它放在圖像中。(Trustnodes)[2020/6/26]

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

動態 | 億邦回應:對方是為躲避欠款的法律責任而惡意舉報:金色財經報道,針對被北京朝陽分局立案偵查一事,浙江億邦、云南億邦共同發布緊急聲明,稱公司未有任何人員被帶走調查,生產及經營人員穩定,未受影響。億邦指責對方惡意舉報,事實是為了躲避欠款的法律責任。聲明表示,若億邦對眾應互聯的檢舉經正在進行的民事審判程序依法認定,眾應互聯、新彩量公司及其相關責任人,不僅要承擔敗訴的法律后果,也將因其嚴重的財務造假行為和信息披露違規遭至中國證監會、江蘇省證監局以及深圳證交所的重大行政處罰,并且會導致眾應互聯股價劇烈波動,造成市場恐慌。因此,其向部門惡意舉報浙江億邦、云南億邦,動機無非是企圖以刑事案件為由干擾民事訴訟審理進程,并逃避監管部門的嚴厲追責,混淆視聽。[2019/12/20]

動態 | 伊朗黑客制造惡意軟件勒索數字貨幣:據華爾街日報消息,全球管理咨詢公司埃森哲8月7日發布的一份報告顯示,伊朗黑客在過去兩年內通過制造惡意軟件,致使計算機系統無法運行。黑客以上述軟件勒索比特幣等數字貨幣。有報告稱,這些勒索活動很有可能受到伊朗政府支持。[2018/8/8]

黑客2的攻擊合約地址:

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址:

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

黑客2退回的兩筆交易地址:

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

下面以黑客1正式攻擊交易為例

黑客的攻擊執行了delegateCall,將攻擊者的合約地址寫入到compoundModel中initialize函的forge_參數。setForge(address)函數在初始化函數中執行。這是一個修改Forge地址的功能。

然后,它執行withdrawToForge函數并將所有資金發送到攻擊者的合約。

隨后在調用initialize函數發現forge_參數已經被替換成攻擊者合約的地址。

鏈接到forge_的所有CompoundModel都使用相同的代碼,因此所有資產都轉移到攻擊者的合約中。目前,導致黑客入侵的代碼已被項目方修補。添加了兩個Modifiers,這樣只有ContractCreator可以調用Initialize函數并控制它只被調用一次。

二、安全建議

本次攻擊的根本原因在于CompoundModel合約中缺少對初始化函數的安全控制,可以被重復初始化。初始化函數應只能調用一次,而且需要進行調用者權限鑒別;如果合約是使用初始化函數,而不是在構造函數中進行初始化,則應使用安全合約庫中的初始化器來進行初始化。避免合約被惡意操縱,造成合約關鍵參數和邏輯的錯誤。

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。

Tags:FORGEFORORG區塊鏈Vulcan ForgedFORINTInvest Like Stakeborg Index區塊鏈域名開發

狗狗幣價格
法國基金經理Jad Comair:監管是一個積極因素,可以釋放加密貨幣全部的潛力_加密貨幣

據金融時報9月23日消息,此前對沖基金經理RayDalio認為,如果比特幣變得過于成功,監管機構就會扼殺它.

1900/1/1 0:00:00
廈門、延慶等多地開展區塊鏈相關資金申報,最高補貼2000萬 | 產業區塊鏈發展周報_區塊鏈

政策補貼 一、廈門市科學技術局關于發布2021年廈門市重大科技項目申報指南的通知最高補貼:單個項目最高2000萬?申報日期:2021.09.18-2021.09.

1900/1/1 0:00:00
大廠NFT作品瘋炒到發行價10倍 有交易平臺為“黃牛”開綠燈_GOB

證券日報記者邢萌見習記者張博“太難搶了,根本搶不到。”中秋節之前,“黃牛”余軍對記者抱怨。余軍所說的并不是車票,而是當日某互聯網大廠限量發售的亞運會“數字火炬”數字收藏品.

1900/1/1 0:00:00
觀察 | DAO擴展需要克服哪五個主要挑戰?_區塊鏈

比為一個DAO工作更酷的唯一事情是為所有DAO工作。但要做到這一點,您需要弄清楚所有DAO需要什么。這對我們來說也很棘手。所以在DAO峰會上,我們聚集了一些領先的DAO創始人、運營商和投資者.

1900/1/1 0:00:00
NFT 生態系統 DoinGud 從多家風投公司和個人投資者完成一筆融資_OIN

巴比特訊,10月日,NFT生態系統DoinGud宣布從多家風投公司和多位個人投資者完成一筆融資.

1900/1/1 0:00:00
Bytom2.0全網共識節點運行即將升級丨比原鏈項目周報(第210期)_bytom

歡迎大家收看9.13-9.17第210期比原鏈項目周報!從本期開始我們將對項目周報改革,其內容將更為詳細的記錄項目周動態,讓用戶直接了解Bytom的一周事件.

1900/1/1 0:00:00
ads