此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
SpiritSwap:用户需要撤销当前的inSPIRIT合约权限,但资金没有风险:金色财经消息,Fantom生态去中心化交易协议SpiritSwap发推表示,inSPIRIT合约出现问题,因此需要用户撤销当前的inSPIRIT合约权限,但用户资金没有风险。[2022/3/16 14:00:11]
修改owner
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
CFTC专员称该机构在加密空间的权限有限:美国商品期货交易委员会(CFTC)专员Dawn Stump在一次比特币会议上概述了该机构在加密空间的职责范围有一些经常被忽视的限制。提到针对Derivibit、BitMEX和TeraExchange的CFTC强制执行措施,Stump否认CFTC特别地针对了加密货币。此外,为了全面提醒人们注意CFTC的权限有限,Stump表示,她还在等待SEC诉Ripple案的结果,这将对加密货币产生重大影响,最终导致加密货币最终归属于哪个机构的监管范围。Stump称:“这将有助于确定SEC在数字资产领域的权限范围。”(The Block)[2021/4/21 20:41:24]
声音 | 山西金控集团高向新:将运用区块链等新技术形成新绿色金融产业生态圈:4月26日,在中国绿色金融暨绿色发展(太原)峰会上,山西金控集团总经理高向新表示,山西金控将运用区块链、云计算等新一代信息技术和旗下各金融机构的专业服务能力,发挥山西金控金融牌照资源丰富、业务联动性强的优势,形成新型的绿色金融产业生态圈。[2019/4/28]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
动态 | 对区块链等技术在金融领域的应用予以支持:广东省人民政府印发关于进一步促进科技创新若干政策措施的通知,其中第八条,促进科技金融深度融合中包括,鼓励有条件的地级以上市大力发展金融科技产业,吸引金融科技企业和人才落户,对云计算、大数据、区块链、人工智能等新技术在金融领域的应用予以支持。[2019/1/7]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。