据慢雾安全团队监测,ETH链上的brahTOPG项目遭到攻击,攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下:
1.攻击者首先查询了受害用户0x392472的余额,接着调用了Zapper合约的zapIn函数。
香港财政司长陈茂波:相信Web3会成为香港本地经济发展重要力量:金色财经报道,港财政司长陈茂波出席数码港“数码娱乐领袖论”开幕礼致辞时表示,政府相信Web3和区块链发展潜力,可以加快创新,激发新的商业模式,为金融、贸易、制造、物流等领域提供不同可能性。他提到,政府已发表虚拟资产发展的政策宣言,还于7月成立Web3发展专责小组,由陈茂波担任主席。陈茂波表示,今年港府预算案向数码港拨款5000万元用于Web3建设,目前数码港已有来自逾20个国家或地区的超过170间公司从事Web3相关工作。[2023/8/25 10:01:59]
2.首先函数会为合约转账requiredToken参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。
香港财库局陈浩濂:Web3.0的发展不能损害到金融体系的稳定:金色财经报道,香港财经事务及库务局副局长陈浩濂在南方财经全媒体集团及HashKey Exchange联合举办的“数资成真—亚洲合规探索与未来展望”研讨会发表“香港打造国际虚拟资产中心的机遇和挑战”主旨演讲。陈浩濂表示,Web3.0标志着互联网发展的重要变革,在数字经济和金融科技创新方面发挥着十分重要的作用,但前提是做好投资者保护,不能被利用作洗黑钱等非法用途,不能损害到金融体系的稳定。
陈浩濂介绍,香港在“相同业务、相同风险、相同规则”的监管思路下,让Web3.0在适当的监管框架下,可持续和负责任地发展,让金融创新服务实体经济、服务市民。[2023/8/4 16:17:59]
3.接着会调用内部函数zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。
香港财经事务及库务局局长许正宇:是否允许散户投资者参与加密交易还需咨询市场:1月10日消息,香港特区政府财经事务及库务局局长许正宇在接受采访时表示,他认为加密货币更像是一种投资工具,而不是为了摆脱法定货币的束缚。许仕仁似乎初步对加密的应用持乐观态度。他表示:“这可能是社会和经济运作方式的转变,但这不是一夜之间建成的,我的倾向是看穿这些投资,看看它们背后的东西,它们的背后是什么。”许仕仁称最令他兴奋的是绿色债券的代币化,这使得原本繁琐的发行和投资过程变得更加简化。他还表示,在许多领域,技术可以真正解决瓶颈,例如缩短首次公开募股的认购时间。
此外,许仕仁表示:“香港是一个非常开放的地方,只要符合我们的法律和要求的加密公司,我们都欢迎。”随着VASP制度的即将到来和协商,许仕仁表示“区块已准备好”构建生态系统,我们对自己的立场更加明确。对于香港是否允许获得许可的加密交易所为散户投资者提供服务,许仕仁回应称:“我们需要咨询市场。”许仕仁称:“这是一种进步,我们随着市场和行业的变化而变化,我们与他们一起降低风险,管理他们,并发展这个生态系统。”但他没有就监管机构可能对散户投资者制定的规则、标准和要求提供更多细节,他强调了投资者教育的重要性。(CoinDesk)[2023/1/10 11:04:16]
4.之后会外部调用假代币合约的approve函数,该函数为攻击者恶意构造,是为了给Zapper合约转账frax代币,此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。
5.最后外部调用了swapTarget参数所指定的合约,并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。
6.攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的USDC代币约889,343枚。
此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。
慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。