RIN:危险的授权转账,Li.Finance攻击事件始末-ODAILY_DGE

一、前言

北京时间3月20日晚,知道创宇区块链安全实验室监测到以太坊上分布式跨链协议Li.Finance受到了攻击,攻击者执行了37次call注入获取了多个钱包中约60万美元的资产。此次资产损失并没有非常大,但项目方对于攻击的处理非常积极并值得学习与肯定(见后文),目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

二、分析

1.攻击者相关信息

攻击tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96

ITM Trading首席市场分析师警告CBDC危险:金色财经报道,周末,关于中央银行数字货币(CBDC)的讨论在社交媒体上走红,因为许多人认为这一想法将导致加强金融监管和极权主义货币体系。在最近的一次采访中,ITM Trading首席市场分析师Lynette Zang警告说,CBDC将世界带入一个可以由中央银行直接控制的全面监督经济。[2023/4/17 14:07:30]

被攻击合约:

0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1--代理合约

0x73a499e043b03fc047189ab1ba72eb595ff1fc8e--逻辑合约

攻击者地址:

0xC6f2bDE06967E04caAf4bF4E43717c3342680d76--部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E--收款地址

Elm Partners Management创始人:SBF的风险承受能力是一个大危险信号:金色财经报道,Elm Partners Management 的创始人兼首席投资官兼联合创始人 Victor Haghani 表示,在SBF的FTX加密货币帝国崩溃之前,Sam Bankman-Fried的许多公开声明都表明他做出的决定“就好像他没有风险厌恶”长期资本管理对冲基金。而SBF的风险承受能力是一个大危险信号。[2022/12/30 22:17:02]

2.攻击流程

攻击调用流程攻击者构造payload并调用被攻击合约0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函数

高盛:美股并未达到“危险区域”,仍处于牛市周期的修正阶段:1月27日消息,高盛在周三的一份报告中表示,高估值和历史上从熊市中最强劲的复苏之一,让股市很容易受到回调的影响。高盛认为,虽然它还没有达到熊市前的危险区域水平(至少下跌20%),市场仍处于牛市周期中的修正阶段,目前的水平意味着未来一至五年的回报率相对较低。(金十)[2022/1/27 9:15:21]

具体使用的Payload如下--图中选中部分即为利用授权转账部分的payload:

调用一次正常50刀的跨链桥功能

马化腾谈区块链:每家都发币很危险:马化腾今日在腾讯业绩说明会上表示,区块链是个热门话题,大家都在谈,很多游戏公司在发数字货币,谁都能发一个货币是一件很危险的事情,腾讯不会发。他认为区块链技术有创新的地方,可以用在票据溯源等方面,具体怎么发展需要一段时间才能看得更清晰。[2018/3/21]

在payload中包括多个call方法(调实际用transferFrom)。让0x5a9fd7c3调用37个call,借此利用多个钱包对于0x5a9fd7c3合约的授权(approve)将钱包资产转账到攻击者地址:

后续执行正常的跨链桥逻辑_startBridge(_cBridgeData);。这也是为什么第一个swap是正常的,这样才能让后续逻辑正常执行下去

独立评级机构提醒投资者关于Tether的危险性:独立评级机构Weiss Ratings提醒投资者关于Tether(USDT)的危险性。Weiss分析师Juan M. Villaverde表示:“最大的问题是Tether从来没有进行过审计,且Tether背后的人一直声称他们的虚拟货币是100%被美元支持的,然而却不能提供任何证据支持他们的说法。在社交媒体上似乎有个共识,即Tether实际上在运行一个部分准备金制度。大多数观察家声称他们没有美元来支持所有这些Tether币。我倾向于同意,因为这太可疑了。”如果Tether确实是欺诈行为会发生什么?或者如果某一主要政府认为加密货币交易所正在使用像Tether这样的加密货币来避免监管,会发生什么?如果这一巨大的流动性来源突然蒸发,会怎么样?Villaverde表示:“可以想象,这可能会导致交易失败,可能会推动投资者平仓,导致市场价格急剧下跌。”[2018/2/14]

3.漏洞细节

导致本次问题的根本原因被攻击合约0x5a9fd7c3的逻辑合约存在一个批量让call调用传入数据的函数swapAndStartBridgeTokensViaCBridge

该合约将会取出payload中的多个_swapData数据结构并调用,LibSwap.swap(...);实现如下:

借此,攻击者利用该合约的call将各个钱包对0x5a9fd7c3合约的代码授权转走了多个钱包中的各种代币。

4.项目方进展

在事件发生后,项目方第一时间对合约可能的方法进行了停用,并为其审计和安全性问题进行致歉。

而后,项目方还联系了黑客,希望能与其取得联系并和平解决:

同时,最快的时间将漏洞合约修复后上线:

并将钱包对于之前被攻击合约的授权取消,对新的合约进行了重新授权:

最后,将用户资产进行补回:

同时我们关注到,其在polygon链上的合约也已实现了新的部署:

三、总结

此次攻击的根本原因是项目方对于swapAndStartBridgeTokensViaCBridge合约的实现过度自由化所导致的call调用注入,但项目方积极的面对问题的态度和后续补救的及时性值得学习和肯定。不贵于无过,而贵与改过。但我们仍希望能将错误扼杀在发生之前,应从他人的错误中学习并避免自己未来的错误,正如Li.Finance所说的那样:

我们的使命是最大化用户体验,现在我们痛苦地了解到,为了遵循这种精神,我们的安全措施必须大幅改进。

近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

波场EFI:盘点五大类DeFi数据分析工具 -ODAILY_DEFT

伴随着DeFi的繁荣,加密数据分析的市场也方兴未艾。已实现对一个DeFi项目的初步解析。笔者在使用诸多分析工具后,整理了比较好用的,且市面上推荐度比较高的五类DeFi数据分析工具:看DeFiTo.

PEPE币DEFI:MixMarvel:什么是DAO?-ODAILY_PRIDE价格

DAO的定义 那么,什么是DAO?我们能正确地定义它吗?我们可以从两个角度来尝试定义。 愿景中的DAO 理想情况下,DAO可以在没有任何中央权威或管理层的情况下独立运作,这表现在DAO可以通过使.

[0:15ms0-5:377ms