ULT:Reaper Farm遭到恶意利用,损失160万美元事件分析-ODAILY_ens币是不是局

北京时间2022年8月2日13点,CertiK安全团队监测到ReaperFarm的ReaperVaultV2合约被恶意利用,导致了价值超过160万美元的损失。

攻击者利用ReaperVaultV2合约中的一个漏洞——可以销毁其他用户的vaultshare并提取代币,以此从多个vault提取了大量的代币。

2022年美国参议院候选人Shannon Bray发推为Shiba Inu喊单:10月22日消息,2022年美国参议院候选人Shannon Bray发布了一条关于Shiba Inu的推文,称一旦SHIB重新回到0.00003美元区域,可能很快就会达到历史新高,几乎没有阻力。Bray还敦促SHIB社区“弄出一些动静”,以推动SHIB在周五以超过20%的涨幅收盘。注:Bray是自由党的参议员候选人。他曾在软件开发、信息安全和管理领域工作。(U.Today)[2021/10/22 20:49:34]

截至北京时间2022年8月3日8点,160万DAI、62ETH以及200Matic已被存入TornadoCash。

美国参议员敦促财政部长采取政策来降低加密货币的风险:美国参议员Elizabeth Warren周一给财政部长Janet Yellen写了一封信,概述了对加密货币风险的诸多担忧。沃伦写道:“我以金融稳定监督委员会(FSOC)主席的身份写信给您,是关于需要一个协调一致的监管战略,以减轻加密货币对金融体系构成的日益增长的风险。”Warren表示,FSOC负责识别和应对新出现的金融稳定风险。在美国缺乏足够监管的情况下,她越来越担心加密货币对投资者、消费者和环境构成的危险。她接着概述了加密货币对美国金融体系、对冲基金和其他投资工具构成的一些风险,包括银行风险、网络攻击以及稳定币和去中心化金融 (defi) 特有的风险。她强调,对这些资产带来的风险的政策反应必须是协调和整体的,而不是分散在各个金融机构之间,这一点至关重要。沃伦还提议FSOC在制定全面的加密货币监管制度方面发挥主导作用。她敦促FSOC采取紧急行动,并利用其法定权力来解决加密货币的风险,并确保金融体系的安全和稳定。沃伦警告说,美国等待为这些资产制定适当的监管制度的时间越长,它们就越有可能在金融体系中变得如此交织,以至于如果这个市场承受压力,可能会产生严重的后果。(News.Bitcoin)[2021/7/28 1:19:45]

攻击步骤

美国参议员:加密货币迫切需要监管:美国参议员Warner表示,加密货币迫切需要监管。企业买入加密货币来偿付勒索软件的赎金。 (金十)[2021/5/26 22:43:54]

①攻击者部署了一个攻击者合约,通过该合约,攻击者可在一次交易中从Reapervault提取多个用户的资产。

②ReaperVaultV2合约并未检查shareowner与messagesender之间的关系,因此攻击者可以多次通过攻击者合约提取vault用户的资产。

③攻击者将从金库提取的代币换成DAI、ETH和Matic,并将其存入TornadoCash。

漏洞交易

漏洞交易之一:

https://ftmscan.com/tx/0xc929f3b9312ff26be0adb1c3ff832dbdafdcbcaad33d002744effd515e53c9d5

其余漏洞交易:

https://ftmscan.com/address/0x5636e55e4a72299a0f194c001841e2ce75bb527a

漏洞分析

在ReaperVaultV2合约的`withdraw()`函数中,vaultshare所有者可以是msg.sender以外的账户。同时,所有者与msg.sender之间的关系或是allowance未被选中,意味着人们可以从vault提取其他用户的资产。

写在最后

本次攻击事件本可通过审计发现「缺乏访问控制」这一风险因素。该风险因素将被归类于严重等级的风险。

而除审计外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:181ms