原文:《正处于“刮骨疗”自救的SushiSwap,今日又是如何被黑客攻击的?》
在严峻的财务压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?
2023年4月9日,据BeosinEagleEye态势感知平台消息,SushiswapRouteProcessor2合约遭受攻击,部分对合约授权过的用户资金被黑客转移,涉及金额约1800ETH,约334万美元。
据了解,SushiSwap流动性挖矿项目,克隆自Uniswap,最大的不同是其发行了SUSHI代币,团队希望用SUSHI通证经济模型,优化Uniswap。但Uniswap创始人HaydenAdams表示,Sushi只是任何有能力的开发人员通过一天的努力创造出来的东西,试图利用炒作和Uniswap创造的价值来获利。
其实在本次攻击之前,这个项目还有另外的“坎坷”,去年12月6日,上任仅两个月的Sushi新任“主厨”JaredGrey于治理论坛发起了一项新提案。在该提案中,Jared首次向外界披露了Sushi当前严峻的财务状况,并提出了一个暂时性的自救方案。
EtherPOAP:将空投Token X至铸造EtherARK PASS的邀请者与受邀者:3月31日消息,获数字资产金融服务提供商 HashKey Group 支持的以太坊合并凭证 NFT 系列 EtherPOAP 官方宣布,将于 4 月 13 日至 16 日开放EtherARK PASS系列 NFT 铸造,每枚铸造价格为 0.1ETH,并采取白名单机制,EtherPOAP 持有者、EtherPOAP 合作伙伴、受邀出席 Night Of Awakening 的嘉宾以及 ETH 2.0 质押者。铸造 EtherARK PASS 的邀请者与受邀者将同时获得 Token X 空投。
此前报道,HashKey 旗下附属公司 Hash Blockchain Limited(HBL)已获香港证监会发放的运营虚拟资产交易平台牌照,准备推出完全合规的虚拟资产交易平台——HashKey PRO。[2023/3/31 13:36:46]
正是在这样的压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?
Coinbase月初遭遇网络安全攻击,没有资金被盗:金色财经报道,本月初,加密平台Coinbase经历了一次针对其一名员工的网络安全攻击。不过,Coinbase的网络控制阻止了攻击者获得直接系统访问权限,没有资金被盗用,也没有客户信息被访问或查看。Coinbase表示,其计算机安全事件响应小组(CSIRT)在攻击发生后的10分钟内解决了该问题。[2023/2/22 12:20:41]
事件相关信息
我们以其中一笔攻击交易进行事件分析。
攻击交易
0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8
攻击者地址
0x719cdb61e217de6754ee8fc958f2866d61d565cf
攻击合约
0x000000C0524F353223D94fb76efab586a2Ff8664
被攻击合约
0x044b75f554b886a065b9567891e45c79542d7357
Galois Capital:ETHPoW不应将EIP 1559基础费用定向到多签钱包:8月15日消息,Galois Capital在推特上表示:“我认为ETHPoW将EIP 1559基础费用重定向到多重签名DAO是一个错误。如果矿工收入需要增加以收集更大的算力,那么完全废除会更好。ETHPoW正试图解决没有开发人员的问题,我同意这是一个问题,但通过将基础费用填充到多重签名中并不是一种干净的方法。ETHPoW基本上用不必要的政策作为解决不同问题的一种方式。与任何不公平或中心化的问题相比,资金不足的发展是一个较小的问题。这是因为ETHPoW无论如何都无法赢得与ETHPoS的开发竞争,所以最好下注在不同的路线上。”
此前今日早些时候消息,ETHW Core的初始版本已发布,主要特点是:1、禁用难度炸弹;2、EIP-1559变更,基础费用改为由矿工和社区共同管理的多签钱包管理;3、调整了ETHW的起始挖矿难度。[2022/8/15 12:26:11]
被攻击用户
0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1
攻击流程
THORChain计划集成Avalanche、Dash、Haven、Monero等公链:7月26日消息,去中心化跨链交易协议 THORChain 发布下一阶段将关注的领域,包括增加 RUNE 绑定到节点,增加 LP 中的总资产以产生更多的交易量。此外,THORChain 还计划集成 Avalanche、Dash、Haven、Monero 等公链。
据悉,THORChain 在过去一年专注于网络安全和稳定阶段。随着主网上线之后,THORChain? 向可扩展性和采用阶段的过渡,以推动更多的交易量、交换和总价值锁定 (TVL) 进入网络。[2022/7/26 2:38:08]
1.攻击者地址(0x1876…CDd1)约31天前部署了攻击合约。
DFINITY生态项目ORIGYN将为奢侈手表市场WatchBox提供NFT鉴定证书:4月29日消息,瑞士基金会ORIGYN与奢侈手表市场WatchBox达成合作。这两家公司将共同制作NFT形式的真品证书,使客户能够交易手表的数字所有权。
据悉,ORIGYN是DFINITY互联网计算机协议(ICP)上最大的项目。通过WatchBox购买收藏家级手表的个人,可通过ORIGYN利用其生物识别技术对手表进行认证。每只手表都有一个独特的生物指纹和一个包含所有这些信息的NFT。ORIGYN的实用型NFT将于2022年夏天向WatchBox消费者推出。(Cointelegraph)[2022/4/29 2:38:28]
2.攻击者发起攻击交易,首先攻击者调用了processRoute函数,进行兑换,该函数可以由调用者指定使用哪种路由,这里攻击者选择的是processMyERC20。
3.之后正常执行到swap函数逻辑中,执行的功能是swapUniV3。
4.在这里可以看到,pool的值是由stream解析而来,而stream参数是用户所能控制的,这是漏洞的关键原因,这里lastCalledPool的值当然也是被一并操控的,接着就进入到攻击者指定的恶意pool地址的swap函数中去进行相关处理了。
5.Swap完成之后,由于此时lastCalledPool的值已经被攻击者设置成为了恶意pool的地址,所以恶意合约调用uniswapV3SwapCallback函数时校验能够通过,并且该函数验证之后就重置了lastCalledPool的值为0x1,导致swapUniV3函数中最后的判断也是可有可无的,最后可以成功转走指定的from地址的资金,这里为100个WETH。
漏洞分析
本次事件攻击者主要利用了合约访问控制不足的问题,未对重要参数和调用者进行有效的限制,导致攻击者可传入恶意的地址参数绕过限制,产生意外的危害。
总结
针对本次事件,Beosin安全团队建议:
1.在合约开发时,调用外部合约时应视业务情况限制用户控制的参数,避免由用户传入恶意地址参数造成风险。
2.用户在与合约交互时应注意最小化授权,即仅授权单笔交易中实际需要的数量,避免合约出现安全问题导致账户内资金损失。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。