GYM:小缺陷大损失 ，GYM Network何至于此 ？-ODAILY_POST币

前言

北京时间2022年6月8日，知道创宇区块链安全实验室自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击，损失包括7475枚BNB，共计约216W美元，目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊，2000枚BNB利用BSC-Tornado进行混币，余下3000枚BNB在攻击者地址。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

被攻击合约：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

桥水基金创始人：美国银行业危机影响的不仅仅是银行业:金色财经报道，在清华五道口全球金融论坛高端对话环节，国际货币基金组织原副总裁、中国人民银行原副行长朱民对话桥水基金创始人瑞·达利欧，就美国银行业危机、美联储政策路径抉择及影响、通货膨胀原因等热点议题进行探讨。关于美国银行业危机，瑞·达利欧表示，重要的是要认识到这是一个普遍存在的问题，影响的不仅仅是银行业，这个问题目前影响了许多银行，因为许多银行购买了政府债券。但其实许多实体都购买了政府债券。而且，这里指的不仅仅是购买美国政府债券的美国实体，还有因为货币政策而购买欧洲债券的欧洲实体等。[2023/5/21 15:16:48]

攻击者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

香港证监会：支持元宇宙、NFT、GameFi创新，积极探索适当的代币化资产监管框架:金色财经报道，CrossSpace创始人0xLeon发推称，在香港金融科技周活动中，香港证券及期货事务监察委员会（SFC）副行政总裁兼中介机构部执行董事梁凤仪表示，SFC因为从2018年采取了严谨的监管架构，避免了很多负面事件在香港发生，但SFC会支持创新与发展，尤其在元宇宙、NFT（艺术）、GameFi方面，香港要明确的支持，香港也在积极探索适当的代币化资产监管框架。

最初SFC觉得行业很不成熟所以限定只有专业投资者可以交易虚拟资产。4年过去了，投资者有了更多的知识和经验。整个生态也更成熟，很多国际金融机构都已经进入这个生态。监管也更有经验去监管交易所和其他相关机构。所以是时间去review是否可以逐渐向个人投资者开放。

据此前报道，香港特区政府发表虚拟资产政策宣言。香港证券及期货事务监察委员会将会就新发牌制度下零售投资者可买卖虚拟资产的适当程度展开公众谘询。对于可否在香港引入虚拟资产交易所买卖基金（ETF），政府抱持欢迎态度。政府对于日后检讨代币化资产的产权和智能合约的合法性，抱持开放态度，以便利其在香港的发展。香港金融管理局稍后会就稳定币的监管制度发布谘询结果和下一步工作。[2022/10/31 12:00:50]

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

USDC在智能合约中的供应量占比达4个月高点:金色财经报道，Glassnode数据显示，目前USDC在智能合约中的供应量占比为42.230%，达4个月高点。此前监测到的高点为9月14日的42.222% 。[2022/9/16 7:00:44]

GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制，导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押：

NBA芝加哥公牛队将在Coinbase推出其标志性LOGO的NFT系列“The Aurochs”:9月9日消息，NBA芝加哥公牛队宣布计划于本月底之前在Coinbase NFT市场推出基于其56年历史LOGO的NFT系列“The Aurochs”。据悉，芝加哥公牛队标志性LOGO由商业设计师迪恩·韦塞尔（Dean Wessel）创建，迄今从未更改过，目前芝加哥公牛队已邀请了来自NFT行业的超过23位技术娴熟的艺术家和设计师，包括Michael Salisbury、Bobby Hundreds、Blake Jamieson和Maliha Abidi来重新设计其NBA标NFT，这些NFT将在以太坊区块链上铸造，拟于9月22日开始拍卖，起拍价为0.2 ETH。（business2community）[2022/9/9 13:19:05]

对于应该开放给用户的质押内部函数是_deposit函数，该函数实现了对于token的审批传入，如下图所示：

BAYC#5383以777ETH的价格成交:8月17日消息，编号为#5383的Bored Ape Yacht Club系列NFT以777ETH（约150万美元）的价格成交，买方ENS为Vis.eth，卖方则获利682ETH（约120万美元）。据悉，BAYC#5383毛发为金色，被认为是该系列NFT中罕见的特征，CryptoSlam数据显示，#5383在该系列NFT10000强中排名第285。[2022/8/18 12:32:20]

对应的_autoDeposit函数则实现了"特权"质押，即不需要转入Token进行质押。同时该函数直接暴露给了用户，函数对比如下：

攻击流程

攻击者为了防止链上MEV和抢跑机器人，将合约进行了分步部署执行，同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离，以其中一笔部署调用为例：

1.部署合约后调用depositFromOtherContract实"特权"质押，对应0xfd4a2266方法：

内部调用细节如下:

2.调用0x30649e15实现对上一步特权质押的Token回撤：

3.利用0x1d111d13函数售出获取到的的GYM-Token：

重复多次"特权"质押--回撤--售出步骤，攻击者最终获取到7475枚BNB:

为了抑制抢跑，攻击者将添加质押和回撤进行了步骤分离，两个步骤均为核心操作，同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。

溯源处置

本次攻击原因是项目方实现的特权函数权限控制不当，在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改，为其添加了权限控制：

并在20分钟后对逻辑合约添加了紧急账户处置函数：

而对于项目方Deployer地址分析，其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞，4天前的合约则不存在此函数：

同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago：

攻击者的资金准备(FromTornado)则在约6小时以前，攻击者的身份也值得令人深思。

总结

虽然只是一处小的控制缺陷，却导致了数百万美元的损失。项目方的处置虽较为及时，漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用，各项目方在开发和审计流程上切莫大意。

标签：GYMQUODEPPOSgymnet币价格QuotaDEPOPOST币

火必热门资讯