以太坊FAIRWIN智能合约存在漏洞?详细技术分析在这里_以太坊:Compound 0x

近日,FAIRWIN智能合约存在漏洞这一问题引起各方关注,FAIRWIN作为近日以太坊链上交易量最高的资金盘模式应用,在以太坊链上还存在大量类似的克隆盘,如果存在隐藏漏洞会给公链带来较大风向,因此成都链安安全人员对FAIRWIN智能合约展开了深度分析,分析结果如下:

通过对FAIRWIN合约代码进行审计,我们发现其合约存在一个remedy()接口,如果合约owner没有通过close()关闭接口时,该接口可以被任意用户调用,并且可以通过这个接口伪造投注数据,实现“无中生有”,在不使用任何资金的情况下伪造了充值记录,之后攻击者便可以享受分红,或者通过userWithDraw()将余额全部提出。

以太坊跨链协议Across Protocol宣布支持L1与L2双向桥接:12月23日消息,以太坊跨链协议Across Protocol发推称,已通过集成以太坊二层扩容方案Optimism、Arbitrum和Boba Network支持双向桥接,即可将资产从L1发送至L2,亦可从L2发送至L1。[2021/12/23 7:58:52]

加密支付公司Wyre被曝将关闭,CEO回应称将缩减规模:1月4日消息,据Axios报道,加密支付公司Wyre被曝将清算,并计划在2023年1月终止服务,2名前员工证实停工消息,Wyre的CEO Ioannis Giannaros回应称公司仍在运营,但将缩减规模。

此前消息,金融支付公司Bolt Financial曾宣布以15亿美元收购Wyre,但该交易在9月份被取消。此外,根据Crunchbase数据,Wyre共计在9轮融资中融资2900万美元,投资方包括Samsung Next Ventures、Pantera Capital 和 Stellar Development Foundation。[2023/1/4 9:51:01]

通过链上记录,我们发现项目方已于2019年7月28日通过closeAct关闭了该接口。通过成都链安Beosin-AML系统分析项目方所有的交易记录,我们进一步分析是否已经存在攻击者插入投注数据成功的情况。通过分析发现,该漏洞已被严重滥用。从十天前到现在为止,陆续有账户尝试调用remedy()接口来插入投注数据,不过由于该操作已被关闭,导致插入数据失败,可以看到插入金额都是几万ETH。

数据:今年交易所储备总计减少约55万枚比特币:金色财经报道,Glassnode数据显示,今年已有45万枚在交易所或热钱包中的比特币被转移到冷钱包中,而交易所储备总计减少了约55万枚比特币,使交易所持有的比特币数量减少到总供应量的不到12%。

其中币安在12月的7天内减少9万枚比特币,FTX 在6月的两周内减少7万枚比特币,Coinbase在11月的4天内减少20万枚比特币。(CryptoSlate)[2022/12/27 22:09:40]

插入失败记录:

通过完整追溯,我们总共发现503条插入成功的交易记录,且插入日期都在项目方关闭接口之前。经统计,这503条交易全部由地址0xcb104fA25a1a46040DBaB9F554FF564CE325668b发起。

通过统计得出总共插入了5093个ETH,其中包括4711个冻结ETH,382个未冻结ETH。并且攻击者通过插入投注记录设置的500多个小号已经进行过提现操作。

通过进一步分析其合约部署情况发现,在项目方关闭actStu的前一天,也就是2019年7月27日,项目方刚刚部署FAIRWIN合约,在短短一天时间不到之内,项目合约之内便无中生有了5000多个ETH。7月29日,以太坊浏览器显示合约进行了开源。

?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:0ms0-5:175ms