前言
北京时间2022年6月8日,知道创宇区块链安全实验室?自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击,损失包括7475枚BNB,共计约216W美元,目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊,2000枚BNB利用BSC-Tornado进行混币,余下3000枚BNB在攻击者地址。
知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。
基础信息
被攻击合约:0x0288fba0bf19072d30490a0f3c81cd9b0634258a
FTX提出动议从Modulo Capital冲基金中收回4.6亿美元:金色财经报道,FTX提出动议,要求达成和解协议,为利益相关者追回 4.6 亿美元的资产。Alameda Research 于 2022 年向 Modulo Capital 投资了 4 亿美元。根据备案文件,追回的 4.6 亿美元资产占 Modulo 剩余资产的 99% 以上,其中包括 4.04 亿美元现金。Modulo 还将放弃对 FTX.com 和 FTX.US 账户中持有的 5600 万美元资产的任何索赔。由于和解,Alameda 也将失去对其在 Modulo 的股份的任何索赔。
该协议仍必须得到美国破产法官约翰多尔西的批准,他已安排在 4 月 12 日举行动议听证会。[2023/3/23 13:22:09]
攻击者地址:0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5
攻击合约:0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22
FTX创始人SBF将在巴哈马法庭签署引渡文件:金色财经报道,美国大使馆官员进入巴哈马法院,FTX创始人SBF案预计将于周三继续审理。消息人士称:FTX创始人SBF已离开巴哈马监狱。FTX创始人SBF将在巴哈马法庭签署引渡文件。(金十)[2022/12/22 21:59:52]
tx:0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89
GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2
漏洞分析
项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制,导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押:
币安发布公告称无限期暂停部分网络的LUNC、USTC充提:9月2日消息,币安官方发布公告称,由于跨链桥即将关闭,将对LUNC以及USTC充提进行更改,具体如下;(1)LUNC(Shuttle)在以太坊网络(ERC20)上的充提,以及USTC(Shuttle)在币安智能链(BEP20)、以太坊网络(ERC20)和Polygon网络的充提将于2022年09月07日08:00(东八区时间)无限期暂停;
(2)请用户于2022年09月07日08:00(东八区时间)之前为使LUNC(Shuttle)和USTC(Shuttle)充值业务留出足够的时间。在此时间之后的LUNC(Shuttle)和USTC(Shuttle)充值将不会上账;
(3)用户仍然可以通过Terra Classic网络充值和提现LUNC和USTC代币;
(4)LUNC和USTC的现货交易、杠杆交易、理财平台的相关服务(例如:质押和币安宝等)将不受影响。[2022/9/3 13:05:58]
对于应该开放给用户的质押内部函数是_deposit函数,该函数实现了对于token的审批传入,如下图所示:
应莹:只要人民银行宽松的货币政策没变,反弹还将持续:7月17日消息,徐翔妻子应莹今日在个人公众号上发布“每周市场点评”:全球疫情突变,世卫称奥密克戎变体的传播令病例数增加,或将引发经济衰退。全球持续高通胀使美联储提升加息概率,引发市场担忧,导致外资流出。但市场政策只要人民银行宽松的货币政策没变,反弹还将持续。未来新一轮经济驱动需要破坏性创造,降低经济活动的交易费用,创新的企业和生产率高的产业将引领经济。风险方面,通胀超预期,流动性收紧。(金十)[2022/7/17 2:19:15]
对应的_autoDeposit函数则实现了"特权"质押,即不需要转入Token进行质押。同时该函数直接暴露给了用户,函数对比如下:
Cypher Capital 将向Ocean Protocol生态项目投资500万美元:5月23日消息,阿联酋风投公司Cypher Capital宣布将向数据经济协议Ocean Protocol生态项目投资500万美元。该500万美元资金将在24个月内投资于20个Ocean Protocol生态项目。[2022/5/23 3:36:09]
攻击流程
攻击者为了防止链上MEV和抢跑机器人,将合约进行了分步部署执行,同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离,以其中一笔部署调用为例:
1.部署合约后调用depositFromOtherContract实"特权"质押,对应0xfd4a2266方法:
内部调用细节如下:
2.调用0x30649e15实现对上一步特权质押的Token回撤:
3.利用0x1d111d13函数售出获取到的的GYM-Token:
重复多次"特权"质押--回撤--售出步骤,攻击者最终获取到7475枚BNB:
为了抑制抢跑,攻击者将添加质押和回撤进行了步骤分离,两个步骤均为核心操作,同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。
溯源处置
本次攻击原因是项目方实现的特权函数权限控制不当,在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改,为其添加了权限控制:
并在20分钟后对逻辑合约添加了紧急账户处置函数:
而对于项目方Deployer地址分析,其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞,4天前的合约则不存在此函数:
同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago:
攻击者的资金准备(FromTornado)则在约6小时以前,攻击者的身份也值得令人深思。
总结
虽然只是一处小的控制缺陷,却导致了数百万美元的损失。项目方的处置虽较为及时,漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用,各项目方在开发和审计流程上切莫大意。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。