此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
俄罗斯计划2024年实现加密货币挖矿合法化:金色财经报道,俄罗斯国家杜马金融市场委员会主席Anatoly Aksakov在2023年圣彼得堡国际经济论坛上表示,俄罗斯加密货币挖矿最早可能在2024年合法化。该国加密货币挖矿合法化的四项法案的一读定于7月举行,国家杜马将通过这些法案。它将启动他们成为法律的过程。除了监管加密货币挖矿外,这些法案还将涵盖加密货币挖矿法规、矿工税收以及对非法挖矿活动的处罚等主题。
据俄罗斯财政部此前称,该国的矿工产生了价值约40亿美元的加密货币,产生了约12亿美元的利润。该部还强调了俄罗斯在采矿领域日益重要的作用,强调俄罗斯是世界第二大采矿国。[2023/6/16 21:42:39]
修改owner
欧洲消费者组织BEUC投诉Instagram、YouTube等社交平台的加密广告:6月8日消息,Meta Platforms 旗下 Instagram、Alphabet 旗下 YouTube 以及 TikTok 和 Twitter 或将因为加密广告面临监管行动。欧洲消费者组织 BEUC 投诉称,社交媒体平台上加密资产误导性广告的泛滥是一种不公平的商业行为,因为它使消费者面临严重伤害,例如损失大量金钱。这些社交网络采取措施防止有影响力的人误导消费者,并将这些措施的有效性告知欧盟委员会。[2023/6/8 21:24:20]
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
OpenSea Seaport以太坊链上交易额突破34亿美元,上周出现单日交易超10亿美元情况:金色财经报道,据Dune Analytics最新数据显示,基于开源NFT协议Seaport的OpenSea以太坊链上总交易额已突破34亿美元,本文撰写时达到3,404,069,103美元,交易总量为7,748,648笔,独立用户量1,107,364个。历史数据显示,OpenSea Seaport上周五(12月23日)交易额达到10.1亿美元,目前尚不清楚原因。[2022/12/26 22:08:50]
美国歌手Miley Cyrus提交虚拟货币相关商标申请:8月22日消息,美国NFT和元宇宙商标律师Mike Kondoudis发推称,美国创作歌手Miley Cyrus向美国专利商标局 (USPTO)提交MILEY和MILEY CYRUS商标申请,范围涵盖服装+能量饮料、娱乐服务公司、虚拟货币管理软件、虚拟服装、鞋类和运动装备等。[2022/8/22 12:41:39]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
南非H2O Water Securities完成1.5亿美元融资,GEM参投:7月4日消息,南非H2O Water Securities完成1.5亿美元融资,数字资产投资公司GEM Digital参投。
H2O Water Securities是一家结合了金融、基础设施和水厂部署运营的专业公司,将推出全球首个水资源加密Token H2ON,使其成为为全球水项目筹集资金的一种手段,支持更多人投资水利基础设施。[2022/7/4 1:50:10]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。