事件背景:
DeFi借贷协议Lendf.Me今日遭受攻击,开发团队已在?Lendf.Me用户界面用红字提醒,呼吁用户目前不要向合约存款,此事发生,瞬间引起了外界对于区块链和数字货币安全的激烈讨论。
Lendf.Me于去年?9月推出后因其锁仓资产价值成为?DeFiPulse七大DeFi市场之一,今日攻击者利用重入漏洞覆盖自己的资金余额并使得可提现的资金量不断翻倍,最终将Lendf.Me盗取一空。
黑客攻击事件复盘:
据成都链安反合规和调查取证系统追踪统计,目前?Lendf.Me?损失已超2500万美元,完整攻击过程复盘如下:
此次攻击者地址为:0xA9BF70A420d364e923C74448D9D817d3F2A77822;攻击合约为:0x538359785a8D5AB1A741A0bA94f26a800759D91D,攻击者首先进行了多次攻击测试:
在合约部署完成后的第三笔交易(0xe49304cd3ed)中,攻击者进行了首次攻击尝试:
成都链安:国内天穹数藏宣称遭黑客攻击,黑客利用虚假余额购买盗取用户的藏品:5月17日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,天穹数藏宣称遭黑客攻击,藏品售价异常高达近千万元。根据平台公告称:平台数据遭遇大量恶意攻击,黑客利用虚假余额购买盗取用户的藏品,导致数据异常,目前已恢复,平台已第一时间报警处理。成都链安安全团队初步分析,导致本次攻击的原因猜测为:攻击者通过传统网络安全攻破了平台方数据库,恶意篡改账户余额,导致大量用户高价挂单仍可成交,最终导致数据异常。成都链安安全团队建议:
1、 国内数字藏品平台方在设计、实现和部署的过程中,要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域,做好安全防护;
2、 国内数字藏品平台方在运维的过程中,要做好金融风控的设计和实施,避免出现大规模资金异动而不自知的情况;
3、 数字藏品消费者在选择交易平台时,需要关注平台合规风险,注意保障自身财产安全;
4、 数字藏品消费者警惕炒作风险和市场泡沫,避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]
整个攻击事件开始阶段,攻击者的初始交易发送脚本存在问题,导致只有区块中的第一次攻击才能攻击成功,后面的交易全部抛出异常。
后面攻击者对攻击脚本做出了改动,一个区块只发送一笔攻击交易。首先分析这三笔成功的交易,可以看到攻击者的资金基本上呈现一个倍增的关系,攻击已经开始获利:
成都链安:Li.Finance遭受攻击事件分析:金色财经消息,据成都链安链必应-区块链安全态势感知平台舆情监测显示,DEX聚合协议Li.Finance遭黑客攻击损失约60万美元,关于本次攻击,成都链安团队第一时间进行了分析发现:被攻击合约中的swapAndStartBridgeTokensViaCBridge函数中存在call注入攻击,可通过构造恶意的数据(_swapData)控制call调用的参数。在本次攻击事件中,攻击者恶意构建callTo地址为对应的代币合约地址,并调用代币合约的transferFrom函数转走受害地址的代币。[2022/3/21 14:08:55]
https://etherscan.io/tx/0xae7d664bdfcc54220df4f18d339005c6faf6e62c9ca79c56387bc0389274363b
https://etherscan.io/tx/0xa0e7c8e933be65854bee69df3816a07be37e108c43bbe7c7f2c3da01b79ad95e
QitChain已通过成都链安安全审计:据官方消息,分布式搜索引擎项目QitChain已通过区块链安全机构成都链安的安全审计。
分布式搜索引擎QitChain是一个基于IPFS的区块链搜索工具,旨在成为Web3.0有效数据信息聚合器,在保障用户安全隐私的同时带来更高效、更精准的信息查找。
成都链安是领先的区块链安全公司,自成立以来,一直致力于区块链安全的生态建设。[2021/10/25 20:55:41]
https://etherscan.io/tx/0xf8ed32d4a4aad0b5bb150f7a0d6e95b5d264d6da6c167029a20c098a90ff39b4
到此时,攻击者已经完成对攻击过程的确认,之后的连续多个交易则是攻击者注册了多个代币地址用于代币兑换:
https://etherscan.io/tx/0xc906fc184c6fd453b01d3bc04612cf90e8d339edfe1611e25baa47eb6e9ec080
动态 | 任子行斥资1000万元增资成都链安 推动区块链行业安全监管:任子行(300311)11月28日晚公告,公司拟以自有资金 1000 万元向成都链安增资。增资完成后,公司将获得成都链安 5.39%股权。公司与成都链安创始人杨霞、郭文生、高子扬于 11 月 28 日签署了投资协议。
任子行称,公司聚焦网络空间数据治理,为工信部、等部门提供网络安全产品和服务。此次投资是基于公司网络安全行业整体战略规划以及自身发展需要,持续跟进前沿技术,在网络安全新兴领域的重要布局。双方合作有利于发挥各自优势,积极推动区块链行业的安全监管,促进公司整体战略长期、持续、高效发展。(中证网)[2019/11/29]
以0xc906fc184c6f交易为例,0x06af07097c9eeb7fd685c692751d5c66db49c215是代币CHAI的合约地址,区块高度9899740~9899741基本上全部在注册代币。
之后攻击者继续发起攻击,可以看到,每次攻击后,攻击者持有的资金(imBTC)基本会翻一倍。
通过这样不断翻倍的过程,在交易0xced7ca81308时,基本已达到imBTC的最大存量。
声音 | 成都链安创始人:区块链领域存在六大安全漏洞,全球共损失90亿美元:在2019上海区块链国际周现场,成都链安科技有限公司创始人、电子科技大学副教授杨霞详细分析了行业的六大安全问题。即系统漏洞引起的损失、用户使用不当引起的问题、网络犯罪、暗网黑市交易、,盘和资金盘。根据数据来看,系统漏洞引起的损失,今年以来,由区块链漏洞引起的损失高达30多亿美元。从2011年到2018年损失高达90多亿美元。(华夏时报)[2019/9/17]
之后利用获利的imBTC借入其他代币,如下图所示:
黑客攻击手法分析:
以其中一笔交易0x111aef012df47efb97202d0a60780ec082125639936dcbd56b27551ce05c4214为例:
lendf.me合约地址:0x0eEe3E3828A45f7601D5F54bF49bB01d1A9dF5ea
imBTC合约地址:0x3212b29e33587a00fb1c83346f5dbfa69a458923
第1步,正常执行supply函数,存入113.21475453?imBTC,这里未进行重入。
第2步,再次调用supply函数,存入0.00000001imBTC,在这次交易中,如第3步攻击者触发了supply函数中利用transferFrom函数转入代币时会通知发送方的特性,在发送方的代码中回调了Lendf.me的withdraw函数,取出了第1步supply中存入的113.21475453imBTC以及在本次交易的上一笔重入交易中的113.21475516imBTC,总共为226.42950969imBTC,重入之后再次回到transferFrom剩余的代码中,继续执行将0.00000001imBTC转入lendf.me的操作。
重入攻击的具体代码执行过程如下:
1、进入supply函数
2.调用内部doTransferIn函数,该函数会调用imBTC的transferFrom函数进行代币转账操作
3.在imBTC中,会调用攻击者指定合约(0x538359785a8D5AB1A741A0bA94f26a800759D91D)的tokensToSend函数,攻击者在函数中执行了重入操作,该重入操作调用了lendf.me的withdraw函数,取出了226.42950969imBTC。
4.?withdraw执行完成后,继续从1583行后的supply函数剩余的代码,这部分的代码主要是记录账本数据,攻击者余额翻倍的错误也是在此处发生的:
整个攻击过程,举个例子:
1>?原先攻击者存款100imBTC,第一次supply存入100imBTC,攻击者账户余额为200imBTC
2>?第二次supply存入0.1imBTC,这次发生了重入
2.1在supply之初,读取用户余额记录,存入临时变量temp,值为200.1
2.2调用imBTC的transferFrom函数转入代币时发生了重入,攻击者调用withdraw取出了当前账户的200imBTC,攻击者账户余额记录为0,攻击者获得了200imBTC。withdraw执行完成后继续执行transferFrom,将0.1imBTC转入lendf.me
2.3继续执行supply,用临时变量temp(200.1)更新用户余额记录,攻击者余额记录变为200.1。
此时攻击者余额记录中为200.1imBTC,手中还有200imBTC,可以继续翻倍攻击。
安全防御建议:?
针对此次攻击事件,我们给予区块链企业如下的安全建议:
1、进行重入防护:比如使用OpenZeppelin的ReentrancyGuard;
2、先修改本合约状态变量,再进行外部调用
3、上线前进行必要的安全审计
被盗资金流向:
攻击者在攻击得手后进行了资金转移,目前资金去向地址如下:
imBTCToken
0x3212b29e33587a00fb1c83346f5dbfa69a458923
Tokenlon?交易所
0xdc6c91b569c98f9f6f74d90f9beff99fdaf4248b
OneInchExchange?交易所
0x11111254369792b2ca5d084ab5eea397ca8fa48b
CompoundUSDCoin?借贷平台
0x39aa39c021dfbae8fac545936693ac917d5e7563
CompoundWrappedBTC?借贷平台
0xc11b1268c1a384e55c48c2391d8d480264a3a7f4
钱包地址
0x3dfd23a6c5e8bbcfc9581d2e864a68feb6a076d3
ChaiToken
0x06af07097c9eeb7fd685c692751d5c66db49c215
AugustusSwapper?交易所
0xf92c1ad75005e6436b4ee84e88cb23ed8a290988
根据成都链安AML对攻击者地址0xA9BF70A420d364e923C74448D9D817d3F2A77822的流出资金进行的持续监控,绘制的攻击者资金流向图如下:
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。