事件简述
8月5日凌晨四点,有用户在opyn论坛反馈自己的账户余额无故消失,并有用户发现可疑的交易信息,如下图所示:
Opyn项目方再对情况初步分析后做出回应表示:已经转移了资金,并正在寻找问题原因
截至发稿前,官方发文回应此次事件:遭到黑客攻击,并已对可能遭受攻击的资产进行转移,但此次漏洞只涉及ETH合约,并不影响其他合约。如下图所示:
泰国SEC发布有关加密货币交易风险和服务禁令的警告披露规则:金色财经报道,泰国证券交易委员会(SEC)发布有关企业家加密货币交易风险警告披露的指南。(一)加密货币交易风险提示的披露?(2023年7月31日生效)要求加密货币交易中心运营商?加密货币经纪商?和加密货币交易者?必须披露有关与加密货币交易相关的潜在风险的警告。(二)禁止数字资产业务经营者提供服务或者支持?存贷款业务,但通知规定的例外情况除外。(2023年8月30日生效)。[2023/7/3 22:15:13]
成都链安-安全实验室第一时间对本次事件进行跟踪分析,以下是态势感知系统检测盗的攻击者合约地址:0xe7870231992ab4b1a01814fa0a599115fe94203f0xb837531bf4eb8ebfa3e20948bd14be067c18cbd30xb72e60ea1d0c04605f406c158dce9ac6ae6d224c攻击者攻击方式还原:1、攻击者调用合约向合约发送n个USDC增加抵押,并得到合约币oETH2、攻击者调用合约发送ETH进行抵押,并销毁oETH以赎回自己的USDC3、攻击者赎回自己抵押的ETH。如下图所示:
美国3月失业率录得3.5%,为今年1月以来新低:金色财经报道,美国3月失业率录得3.5%,为今年1月以来新低。美国非农数据公布后,美元指数DXY短线跳涨近20点,现报102.17。美股股指期货短线拉升,三大股指期货悉数转涨。[2023/4/7 13:50:35]
在步骤二中,攻击者调用exercise函数,并向其传递了两个地址A、B和两倍自己应得的USDC,程序正常执行,这导致地址B的资金受损。技术分析
以交易0x56de6c4bd906ee0c067a332e64966db8b1e866c7965c044163a503de6ee6552a为例,攻击者通过合约0xe7870231992ab4b1a01814fa0a599115fe94203f对合约0x951D51bAeFb72319d9FBE941E1615938d89ABfe2发动攻击,此笔交易中共获利$9907。如下图所示:
推特前1000名广告主中超一半停止投放广告:金色财经报道,根据一家数字营销分析公司的数据,在美国社交媒体巨头推特公司去年9月份时排名前1000位的广告商中,有一半以上在今年1月份的前几周已停止在该平台上投放广告。截至1月份,排名前1000的品牌中约有625家撤回了广告投入,其中包括可口可乐、联合利华、富国银行和默克等。数据显示,受此影响,从去年10月到今年1月25日,推特的广告月收入暴跌了60%以上,从约1.27亿美元降至大约4800万美元。(央视财经)[2023/2/12 12:01:47]
攻击者首先调用了addERC20CollateralOption函数,向合约中发送了9900个USDC,如下图所示:
队记:NBA开拓者队结束与加密货币公司StormX的球衣广告赞助协议:10月2日消息,NBA波特兰开拓者队记者Sean Highkin在社交媒体上表示,开拓者方面发布了一份声明,声明中称他们已经结束了与StormX的球衣赞助商合作关系,并寻找新的球衣广告合作伙伴。Sean Highkin称,就在四天前的媒体日,他们的球衣上仍有StormX的标志。
据悉,开拓者队于去年7月份与StormX达成合作。[2022/10/2 18:37:19]
此函数中的addERC20Collateral(msg.sender,amtCollateral);负责代理转账USDC;函数中的issueOTokens(amtToCreate,receiver);负责铸币oETH,此笔交易铸币30个oETH并发送给了攻击者,如下图所示:
在此完成后,攻击者的vault参数进行了变化。vault.oTokensIssued和vault.collateral分别更新300000000和9900000000为如下图所示:
然后攻击者开始将oETH兑换出来。调用exercise,构造参数oTokensToExercise为60,vaultsToExerciseFrom为两个地址,其中一个是也满足条件的他人地址。如下图所示:
Exercise函数运行_exercise(vault.oTokensIssued,vaultOwner);分支,将30oETH相应比例的USDC发送给调用者,如下图所示:
我们可以注意到,在最终转账时,_exercise是将USDC转给了msg.sender,也就是攻击者。我们回头看exercise中存在者for循环,攻击者输入的oTokensToExercise为60,所以合约再验证了第二个地址符合条件的情况下,依旧会将余额转给msg.sender,也就是攻击者。这就使得攻击者可以获得两次USDC,从而获得利润。总结建议
此次事件攻击者利用了exercise函数的逻辑缺陷。此函数在进行最后转账前并未验证调用者是否有权限赎回此地址的USDC,只是简单的验证了地址是否可以赎回。属于代码层的逻辑漏洞,并且根据官方回复,此合约是经过安全审计的。成都链安在此提醒各项目方:1、项目上线前应当进行足够有效的安全审计,最好是多方审计2、对于合约的应当设置暂停合约交易等功能,在发生安全事件时,可以以保证资金安全3、安全是一个持续的过程,绝非一次审计就能保平安,与第三方安全公司建立长期的合作至关重要
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。