此篇文章由Cobo区块链安全研究团队供稿,是?Cobo?Labs?的第??4??篇文章。
跨链桥Multichain漏洞
1月18日知名跨链桥Multichain发现并修复了一个针对WETH,PERI,OMT,WBNB,MATIC,AVAX共6种代币有重要影响的漏洞。凡对MultichainRouter授权过上述代币的用户均受影响,攻击者可直接利用漏洞转走用户授权的代币。根据19日的官方公告,由于部分用户未及时取消授权,有约445WETH被攻击者盗走。
漏洞发生在AnyswapV4Router合约上的anySwapOutUnderlyingWithPermit函数中,由于函数对Token参数的合法性没有校验,攻击者可传入伪造的Token合约来代替原本官方的AnyswapV1ERC20?Token。另一方面WETH等代币合约没有实现permit方法但是实现了fallback函数,因此在后续调用permit时不会发生revert,可以继续成功执行下去。最终导致攻击者可以将受害者approve给AnyswapV4Router合约的Token盗走。
关键代码如下:
全国人大代表:比特币是中美基础理论公益性受到严峻挑战的案例:3月5日,参加十三届全国人大二次会议的福建代表团举行全体会议,审议政府工作报告。全国人大代表陈国鹰在以“加快5G技术研究,构筑未来科技战略新优势”的发言中指出,在目前中美关系背景下,基础理论的公益性将受到严峻挑战,为了达到封锁中国的目的,今后很多基础理论共享估计都达不到了,这是我们未来科技战略首先要面对的挑战。比特币就是一个非常典型的案例。比特币做出来了以后,全世界才知道有区块链这个技术,当大家知道区块链技术后,以比特币为代表的公有链技术平台已经牢牢地控制在美国人手上了。未来十年,我们除了基础理论不能跟美国共享以外,同时还要面对右翼的升级挑战,这是十分艰巨的任务。(福建日报)[2021/3/7 18:22:51]
CoboComment
对于普通用户来说,需要特别留意Token无限授权所带来的风险。授权尽可能保证只授权用到的Token数量,而不要使用默认的无限授权,避免节约了gas却丢失了本金。对已有的无限授权要及时撤销,查询账户的授权情况可以使用Etherscan的工具https://etherscan.io/tokenapprovalchecker。
Reference
https://github.com/W2Ning/Anyswap_Vul_Poc
全国人大代表刘飞香:用好区块链推动工程机械产业升级:3月4日消息,全国人大代表、中国铁建重工集团董事长刘飞香表示,可利用区块链去中心化、可信、高效等技术特点,为上下游产业链信息不透明、产业链条复杂,信任成本高企等问题的解决提供有效的管理环境和技术创新支持,从而构建工程机械行业产业区块链,推动相关企业上链,建立高效协同生态。区块链在优化业务流程、降低运营成本、提升协同效率、建设可信体系等方面的优势,有利于解决工程机械产业链中面临的种种问题,对我国工程机械产业的长足发展具有重要意义。(中国贸易报)[2021/3/4 18:13:43]
https://theblockbeats.info/news/28774
https://hackernoon.com/erc20-infinite-approval-a-battle-between-convenience-and-security-lk60350r
BSC上的DEXCrosswise遭攻击
1月18日BSC上的DEX项目Crosswise遭受攻击,损失约30万美金,并造成CRSSToken币价闪崩。
问题是因MasterChef合约的setTrustedForwarder函数没有正确进行权限校验。当攻击者修改了TrustedForwarder后,可以实现伪造msg.sender的效果,从而直接获取到MasterChef的owner权限。然后再利用owner权限调用set函数设置?strategy为攻击者的恶意参数0xccddce9f0e241a5ea0e76465c59e9f0c41727003。修改strategy后通过少量deposit即可withdraw大量的CRSSToken获利。
全国人大常委会副委员长王晨:要推进区块链应用等行业的大数据安全应用示范:\t\t\t\t \t\t\t今日,由国家发展改革委、工业和信息化部、国家互联网信息办公室、贵州省人民政府共同主办的2018中国国际大数据产业博览会开幕。中央局委员、全国人大常委会副委员长王晨致辞:要持续加强大数据安全保障能力建设。数据安全是产业发展的基础,没有数据安全,就不可能有产业的可持续发展。要建立健全大数据及网络安全态势感知体系、应用体系、产业体系,加强政务、金融、税务、社保、能源、交通、海关、医疗等重点公共信息系统技术安全防护,推进大数据交易、工业大数据、区块链应用、量子保密通讯应用、人工智能等行业的大数据安全应用示范,大力提升技术创新能力、产业支撑能力、安全监管和保护能力。[2018/5/26]
官方公告也承认这个漏洞过于明显,似乎是开发者有意为之,其内部调查后开除了4个开发者。目前已经对链上数据进行了快照,后续将进行重新部署。官方git上已经开始进行整体的代码审计,据称后续会再联合Certik进行审计。
相关代码如下:
官方公告也承认这个漏洞过于明显,似乎是开发者有意为之,其内部调查后开除了4个开发者。目前已经对链上数据进行了快照,后续将进行重新部署。官方git上已经开始进行整体的代码审计,据称后续会再联合Certik进行审计。
声音 | 证券时报评论:区块链技术应该结合行业特点构建完整的应用场景:12月18日,证券时报记者发表评论文章《让区块链回归技术本质》。文章表示,区块链技术的去中心化、不可篡改性、可追溯性等特点可能为实体经济带来重大变革。然而,真正拥有区块链技术的企业少之又少,多数企业只是借势炒作概念,以实现各自的目的。可以预见的是,这一轮区块链的加强监管,在严打发行代币等庞氏局后,区块链将逐渐回归技术的本质,创造实实在在的价值。区块链技术要想在更大范围内落地生根,应该结合行业的特点来构建起一个完整的应用场景,进而对实体经济产生实实在在的价值,否则行之不远。这个场景的构建一定离不开大数据、云计算等相关技术的支持,实际上,随着大数据技术的不断发展,区块链技术的应用场景也会逐渐得到丰富和完善。为了促进区块链技术的健康发展,当前尤其要防止一些人把技术当作违法的挡箭牌,不能让这样一个新的领域变成监管盲区,因此各监管机构应该明确监管责任,比如具体由哪个部门对区块链进行监管,因为区块链涉及多个领域的应用,如果监管主体责任不明确,地方部门很难开展监管工作。一旦出现监管盲区,就有可能出现大量违法犯罪行为,扰乱金融秩序,进而可能污名化这一新技术,让区块链变成一个负面名词,阻碍区块链技术的发展。[2019/12/18]
CoboComment
声音 | 21世纪经济报道:外资银行区块链金融应用“内外有别”:据21世纪经济报道发文称,记者多方了解到,当前外资银行在中国境内的区块链技术应用,主要集中在跨境贸易融资与供应链金融领域,尚未延伸至跨境支付、数字票据、发债等领域。而在境外,他们通过内部孵化,将区块链技术应用在跨境支付、供应链金融、发票、数字票据、信用证、征信、汽车债券ABS、加密数字货币、发债等领域。这背后,折射出中国与欧美国家在区块链技术研发应用方面的侧重点截然不同。[2019/10/30]
此次攻击针对的是MasterChef合约,其实不会直接盗取用户的LP或者CRSStoken,但币价大跌还是会让持有CRSS的用户造成实际的损失。查看官方doc上无法找到项目审计报告,此漏洞比较明显,如果经过安全公司审计的话,很大概率可以暴露出来。对于个人投资者来说,未经过审计的项目还需谨慎。
Reference
https://twitter.com/peckshield/status/1483340900398895105
https://crosswise.medium.com/post-exploit-update-2a24c3370466
https://bscscan.com/address/0x70873211cb64c1d4ec027ea63a399a7d07c4085b#code
https://github.com/crosswise-finance/crosswise-code-review-1.1
Rari#90即FloatProtocolPool遭受预言机操纵攻击
1月15日,RariCapital上的90号池即FloatProtocol池遭受预言机操纵攻击。
该池使用UniswapV3FLOAT/USDC交易对报价,而在攻击发生之前几天,FLOAT/USDC池中流动性下降,低流动性给了攻击者进行进行预言机操纵攻击的机会。攻击者使用47ETH在池中使用USDC兑换FLOAT,导致FLOAT报价升高。之后再使用FLOAT抵押到Rari#90池中借出其他资产实现获利。攻击手法与2021年11月发生的Rari#23池VesperLendBeta攻击一致。
CoboComment
对于一些无法使用ChainLink预言机报价的小币种,DeFi合约中通常会使用DEX作报价。目前UniswapV2/V3延时报价虽然可以抵抗闪电贷攻击,但无法抵抗真实的大资产操纵;而TWAP时间加权机制虽然可以在一定程度上提高操纵难度,但只能缓解不能根除。从开发者角度,可以考虑在合约中添加一定风控类代码针对恶意报价进行检查。对普通用户而言,则要留意相关的流动性池,提防价格操纵风险。
Reference
https://twitter.com/FloatProtocol/status/1482184042850263042
https://medium.com/vesperfinance/on-the-vesper-lend-beta-rari-fuse-pool-23-exploit-9043ccd40ac9
DefiDollar发现潜在攻击
1月8日DefiDollarFinance(
漏洞本身虽然严重但成因并不复杂,比较有意思的是官方的修复方式。由于合约本身不支持升级,因此无法直接更新合约代码;合约不支持暂停,因此也没法用快照+迁移的方式转移用户资产。最终官方的措施是自己发动了攻击交易,将所有受漏洞影响用户的资产转移到了一个多签钱包中。待后面部署新Token合约后会再行分配。
CoboComment
ERC20Token已经有比较成熟的代码模板,wxBTRFLY是在重写transferFrom时出现的问题。这个问题如果有完善的单元测试应该会很容易发现,项目方可能在开发过程中是缺少完善的测试流程。
Reference
https://discord.com/invite/rpkPDR7pVV
https://twitter.com/redactedcartel/status/1482497468713611266?s=20
https://etherscan.io/tx/0xf0e4ccb4f88716fa5182da280abdb9ea10ec1c61cfc5bbe87e10bdde07c229d6
Qubit跨链桥被攻击
1月28日,BSC上的DeFi平台QubitFinance的跨链桥QBridge遭受攻击,损失约8000万美金。
跨链桥一种常见的实现形式是在源链的合约中抵押资产,并emitevent。由监听节点捕捉event,向目标链的跨链桥合约发起调用,mint等量的资产。来源链上只要有event事件产生,跨链桥系统就会认为有跨链资产需要转移。但如果源链上跨链桥合约代码存在问题,就可能出现没有资产抵押进跨链桥合约但仍emitevent的情况,产生漏洞,造成目标链Token的错误增发。
QBridge就存在这样的问题。QBridge支持抵押ETH和ERC20Token两类资产。由于以太坊的ETH作为native代币,与ERC20Token由两套单独的代码处理。在源链抵押Token时,会调用deposit方法,在抵押时ETH应该调用depositETH方法。QBridge将零地址作为ETH的标识。但是实现时没有完善的校验,导致合约处理ETH时仍使用deposit方法,相当于将ETH当成了合约地址为零地址的Token处理。在转账时使用transferFrom则相当于是对零地址进行合约调用。而以太坊底层设计上,对EOA地址发起合约调用会默认成功,不会revert。以上条件结合起来,最终的情况就是虽然攻击者在源链没有抵押任何资产,但仍可以在目标链上mint出大量qXETH,实现获利。
CoboComment
目前区块链行业中多链并存,跨链桥已经是重要的基础设施。跨链桥本身由于要进行链上链下配合,整体复杂度要比普通dapp高上许多,因此更容易出现问题。同时跨链桥上通常会抵押大量的资产,如果可以非法转移那么获利颇丰。各个跨链桥系统似乎成为了攻击者们最近一两月中的重点目标。
Reference
https://mp.weixin.qq.com/s/PLbuI9JFxyFRlDlj9rPvmQ
https://mp.weixin.qq.com/s/-kTsAs2WH5_4N4_3-XIxag
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。