原文:《正处于“刮骨疗” 自救的SushiSwap,今日又是如何被黑客攻击的?》
在严峻的财务压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?
2023年4月9日,据BeosinEagleEye态势感知平台消息, SushiswapRouteProcessor2合约遭受攻击,部分对合约授权过的用户资金被黑客转移,涉及金额约1800ETH,约334万美元。
据了解,SushiSwap 流动性挖矿项目,克隆自 Uniswap,最大的不同是其发行了 SUSHI 代币,团队希望用 SUSHI 通证经济模型,优化 Uniswap。但 Uniswap 创始人 Hayden Adams 表示,Sushi 只是任何有能力的开发人员通过一天的努力创造出来的东西,试图利用炒作和 Uniswap 创造的价值来获利。
Willkie Farr&Gallagher法律顾问:监管机构只是在打击该行业:金色财经报道,纽约Willkie Farr&Gallagher律师事务所的法律顾问Mike Selig表示,SEC投诉中提到的代币除了都是基于区块链的加密资产之外,并没有太多共同点。它们包括主要区块链网络的资产、元宇宙和游戏代币、稳定币以及提供特定功能的各种实用代币。通过命名如此广泛的差异化代币,SEC有效地向市场发出信号,表明它将大多数代币视为证券。虽然SEC辩称控制加密货币业务的严厉措施只是为了保护投资者免受欺诈和操纵,数字资产市场充斥着欺诈和操纵,但业内人士的一个流行观点是,在多个高调破产的加密货币交易所导致数十亿美元的损失之后,监管机构只是在打击该行业。[2023/6/30 22:09:58]
其实在本次攻击之前,这个项目还有另外的“坎坷”,去年12 月 6 日,上任仅两个月的 Sushi 新任“主厨” Jared Grey 于治理论坛发起了一项新提案。在该提案中,Jared 首次向外界披露了 Sushi 当前严峻的财务状况,并提出了一个暂时性的自救方案。(相关阅读:《Sushiswap财库告急,新任“主厨”按下“自救键”》)
ConsenSys的zkEVM公共测试网将于3月28日上线:金色财经报道,以太坊基础设施开发公司ConsenSys将于3月28日推出零知识以太坊虚拟机(zkEVM)公共测试网。
此前报道,2月24日,ConsenSys表示其zkEVM测试网封闭测试版已经执行30万笔交易,每天处理超过5万笔交易。[2023/3/4 12:41:30]
正是在这样的压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?
我们以其中一笔攻击交易进行事件分析。
0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8
Dell EMC安全架构师:大多数安全问题不是来自区块链本身,而是来自应用程序:金色财经联合Coinlive现场报道,在新加坡举办的区块链进展国际研讨会上,Dell EMC系统安全架构师Charlie Kaufman就 \"区块链安全考虑因素 \"这一主题进行了分享。Charlie Kaufman提出了区块链安全问题,并指出大多数安全问题不是来自区块链本身,而是来自应用程序。区块链的设计是稳健的。如果区块链维护者彼此失去联系,每个连接的小组将继续添加新的区块并确认交易,就像其他小组不存在一样。然而,如果一个网络被分割成太多的小团体,一些区块链就会停止运行。
因此,在可能停止和产生分叉之间,存在着设计上的权衡。综上所述,区块链是一个做得特别好但也很差的工具。区块链可能有助于应用程序的安全,但这并不是全部。因此,了解问题并为其挑选最佳工具是至关重要的。[2022/12/2 21:18:48]
攻击者地址
以太坊Gas费用降至11Gwei,较日内高点下降近93%:金色财经报道,据Ultrasound.money数据显示,以太坊Gas费用降至11Gwei,较日内高点下降近93%。[2022/11/19 22:06:42]
0x719cdb61e217de6754ee8fc958f2866d61d565cf
攻击合约
0x000000C0524F353223D94fb76efab586a2Ff8664
被攻击合约
0x044b75f554b886a065b9567891e45c79542d7357
被攻击用户
0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1
美国联邦法官要求CFTC在11月7日前对Ooki DAO动议作出回应:10月14日消息,bZx协议运营组织Ooki DAO更新CFTC/Ooki DAO行动的简报,称联邦法官接受了非当事人意见陈述,并命令美国商品期货交易委员会(CFTC)对Ooki DAO的动议作出回应,截止日期为11月7日,以重新考虑法官裁定CFTC服务有效的裁决。
此前报道,美CFTC对bZx协议原控制团队处以25万美元民事罚款,并对Ooki DAO提起诉讼。CFTC的诉讼称,Ooki DAO是一个非法人协会,其经营一家名为bZx的无牌交易为非法行为。[2022/10/14 14:27:39]
1.攻击者地址(0x1876…CDd1)约31天前部署了攻击合约。
2.攻击者发起攻击交易,首先攻击者调用了processRoute函数,进行兑换,该函数可以由调用者指定使用哪种路由,这里攻击者选择的是processMyERC20。
3.之后正常执行到swap函数逻辑中,执行的功能是swapUniV3。
4. 在这里可以看到,pool的值是由stream解析而来,而stream参数是用户所能控制的,这是漏洞的关键原因,这里lastCalledPool的值当然也是被一并操控的,接着就进入到攻击者指定的恶意pool地址的swap函数中去进行相关处理了。
5.Swap完成之后,由于此时lastCalledPool的值已经被攻击者设置成为了恶意pool的地址,所以恶意合约调用uniswapV3SwapCallback函数时校验能够通过,并且该函数验证之后就重置了lastCalledPool的值为0x1,导致swapUniV3函数中最后的判断也是可有可无的,最后可以成功转走指定的from地址的资金,这里为100个WETH。
本次事件攻击者主要利用了合约访问控制不足的问题,未对重要参数和调用者进行有效的限制,导致攻击者可传入恶意的地址参数绕过限制,产生意外的危害。
针对本次事件,Beosin安全团队建议:
1.在合约开发时,调用外部合约时应视业务情况限制用户控制的参数,避免由用户传入恶意地址参数造成风险。
2.用户在与合约交互时应注意最小化授权,即仅授权单笔交易中实际需要的数量,避免合约出现安全问题导致账户内资金损失。
Beosin
企业专栏
阅读更多
金色财经 善欧巴
Chainlink预言机
金色早8点
白话区块链
Odaily星球日报
Arcane Labs
欧科云链
深潮TechFlow
BTCStudy
MarsBit
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。