Superfluid_HQ被黑分析-ODAILY

前?

2022年2月8日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。

攻击涉及基础信息

Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

AAX平台币AAB抢购第五轮预约人数已达923人:据AAX官网数据,截止9月22日18时,AAX平台币AAB抢购第五轮活动预约人数已达923人。AAB限时返场抢购活动,限额500人参与,每人限量1000枚AAB,其中一半用户250人将获得免单。活动将于9月23日20:00开启,详情请点击原文链接。[2020/9/22]

攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

AAX平台币AAB闪购第三轮超售24%,并同比例增加60个免单名额:据AAX官方消息,9月9日20:00AAX平台币AAB夏日抢购活动59秒抢购完毕。由于订单后台短时间涌入大量订单,导致抢购人数超出500人限定,最终共计620名用户抢购成功。经AAX官方紧急研究决定,为保证用户利益和活动公平,AAX将按照50%的免单比例追加60个免单名额,即620人抢购成功,310人获得免单资格。免单中签用户将在抢购结束后24小时内公布,并于9月16日开启AAB闪购第四轮。更多信息请查看AAX官方消息。[2020/9/9]

黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

AAX交易所平台币今日价格最高触达1.3572USDT:据AAX行情显示,AAB今日最高报1.3572USDT,上线以来涨幅逾超35%。AAB是AAX交易所推出的平台币,AAX将100%合约收入用于每日回购和销毁AAB。

据了解,参与公募的前两批共1000名投资者中有500人免单获得一千枚AAB,另有500名投资者以0.5 USDT的价格购买1000 AAB。

目前AAB已开通OTC交易,可实现便捷买币。[2020/4/30]

攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

漏洞核心

此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。

漏洞利用

为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?

从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。

而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:

总结

本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-4:481ms