2020年6月30日下午5:46,Beosin-OSINT威脅情報系統發現
VETH智能合約
遭受攻擊,被盜919299個VETH。成都鏈安·安全實驗室第一時間對本次事件進行跟蹤分析。
?
根據鏈上交易顯示:
攻擊者利用自建合約
通過Uniswap將0.9ETH兌換為138VETH,之后對VETH智能合約
發起攻擊,在攻擊完成后自建合約進行自我銷毀。
本次攻擊成本僅0.9ETH,約合200美元。交易
歐易OKX將提出的比特幣生態標準BRC-30更名為BRC20-S:6月14日消息,歐易 OKX 正式將提出的 BRC-30 標準更名為 BRC20-S 標準,即 BRC20-Staking。本次更名旨在更好的讓用戶理解該協議的本質含義,為比特幣生態引入質押機制,可讓用戶在不出售 BRC-20 資產的前提下通過質押賺取收益,同時也可讓項目方將 BRC20-S 資產分發給比特幣或 BRC-20 資產持有者,從而助力比特幣生態發展。此外,OKX Web3錢包還計劃引入 BRC20-S 資產交易市場。[2023/6/14 21:36:50]
詳情如下:
比特幣全網未確認交易數量為101229筆:金色財經報道,BTC.com數據顯示,目前比特幣全網未確認交易數量為101229筆,全網算力為391.38 EH/s,24小時交易速率為4.91交易/s。目前全網難度為51.23 T,預測下次難度上調3.45%至53.00 T,距離調整還剩2天15小時。[2023/6/12 21:30:35]
△圖1
在盜幣成功之后,攻擊者將盜取的VETH通過Uniswap換成了16ETH。如下圖所示:
德克薩斯州出臺法案保護比特幣持有者、礦工和開發商的權利:金色財經報道,德克薩斯州正在推廣、推進和提供比特幣平臺,并將其視為一項尖端創新。德克薩斯州還發布了一份報告,提出了一項允許比特幣作為該州授權投資的提案。根據該法案的最新細節,德克薩斯州第 88 屆立法機構現在支持“根據德克薩斯州憲法第一條第 8 節在比特幣網絡上編碼或開發的個人”。該法案還談到 BTC 礦工可以自由尋找任何形式的能源來保護比特幣網絡。新法案還規定,任何公民都不會被剝奪擁有比特幣的權利,并談到了對他們的保護。該法案還重申了在該州擁有和處理比特幣的安全性。[2023/3/22 13:17:57]
美股三大股指低開 標普500指數跌1.12%:1月25日消息,美股三大股指低開,納指跌1.62%,標普500指數跌1.12%,道指跌0.79%。[2023/1/25 11:29:50]
△圖2
?具體攻擊流程如下:
1.攻擊者創建攻擊合約,通過Uniswap將0.9ETH兌換成138VETH;
2.調用VETH合約changeExcluded函數,支付128VETH手續費,使mapAddress_Excluded的值為true;
3.調用transferFrom函數,因mapAddress_Excluded的值為true,可以直接進行轉賬;
4.攻擊完成后,攻擊者通過Uniswap將盜取的VETH兌換成16ETH。
漏洞原理分析
此漏洞產生的主要原因是changeExcluded函數修飾符為external,使得任何人都可以調用該函數來繞過transferFrom函數內部的授權轉賬額度檢查,將合約的VETH代幣盜走。
首先分析transferFrom函數,在函數內部先進行!mapAddress_Excluded的判斷,按照正常邏輯,該結果為true后,將進行授權轉賬額度的檢查。但是轉賬函數_transfer的調用放在if語句體外,這就導致攻擊者可以通過將mapAddress_Excluded的值設置為true而繞過授權轉賬額度的檢查,直接進行VETH代幣轉移。transferFrom函數源碼如下圖所示:
△圖3
通過分析修改mapAddress_Excluded值的代碼發現,在changeExcluded函數內實現了對其值的修改,且該函數修飾符為external,可供外部調用。changeExcluded函數源碼如下圖所示:
△圖4
在未對該值進行設置時,mapAddress_Excluded的初始值為false,最后if判斷結果為true,進入if語句體,調用_transfer進行轉賬,要求支付轉賬金額為:mapEra_Emission/16即128VETH,然后mapAddress_Excluded的值被設置為true。emission的值如下如所示:
△圖5
總結
此次VETH被盜事件,漏洞出自VETH合約而非Uniswap,VETH合約代碼的函數訪問修飾符的錯誤使用導致任何人都能繞過授權轉賬額度的檢查,以極低的成本發起攻擊。
成都鏈安·安全實驗室在此提醒:各大智能合約運營商,在合約正式部署上線前應做好充分的代碼審計工作,即使是一些簡單的代碼錯誤也會財產損失。
作者:MYKEY研究員馬烈為幫助加密市場參與者對穩定幣發展狀態保持更新,我們推出?MYKEY穩定幣報告,分享我們對穩定幣發展狀態的解讀、對其發展趨勢的分析.
1900/1/1 0:00:00如果觀察比特幣的持有量數據,你會發現匿名賬戶表現出一條令人擔憂的趨勢,即大戶之間的聯合的趨勢越來越明顯。鯨魚通常指持有1000到100萬比特幣的投資者,被稱為鯨魚.
1900/1/1 0:00:00比特幣會被毀滅嗎? 先假設,如果比特幣被毀滅會發生什么。顯而易見的幾點,首先,占加密貨幣65%的市值將會消失;其次,區塊鏈技術的安全性遭到質疑,公鏈生態崩潰,Defi應用瓦解;然后,BCH、BS.
1900/1/1 0:00:00據外媒6月21報道,自今年3月份市場中主要的加密貨幣和山寨幣在一天內市值損失了50%后,加密貨幣市場一直處于復蘇狀態.
1900/1/1 0:00:00據Cryptopotato6月21日報道,以太坊聯合創始人VitalikButerin最近表示,相較于傳統金融,去中心化金融協議的利率要高得多,其中暗含未說明的風險.
1900/1/1 0:00:00富國銀行預計美國企業養老金將有350億美元轉入固定資產收益領域。分析師認為,這可能會導致股市大幅拋售,并且鑒于比特幣和股票之間的相關性,這可能會使比特幣很容易出現回調.
1900/1/1 0:00:00