链资讯 链资讯
Ctrl+D收藏链资讯

Superfluid_HQ被黑分析-ODAILY

作者:

时间:

前?

2022年2月8日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。

攻击涉及基础信息

Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

漏洞核心

此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。

漏洞利用

为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?

从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。

而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:

总结

本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

标签:CTXALLATADATACTXCALLBI币bigtourismdataOwndata

币安app官网下载热门资讯
NCE:顶峰课堂:波卡Polkadot-ODAILY_区块链

从久负盛名的创始人,到极具颠覆性的创新技术,波卡自创世伊始,便自带“明星”光环,吸引了大批拥趸.

DRO:DAOrayaki:DAO行业进展(双周报)-ODAILY_YFOX Finance

DAO行业进展双周报第18卷——1月22日至2月5日 速览: lDeepDAO.io:在DAO中投票或提议的人数现在超过50万。lMaker的KYC/AML监管研究引起了对去中心化的担忧.

DAO:项目方遇见「打桩机」?被攻击约40次损失170万美元-ODAILY_RATSDAO币

2022年3月13日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Paraluni合约遭受攻击,损失约170万美元,成都链安技术团队对此事件进行了相关分析.

数字资产:如何托管数字资产-ODAILY_加密货币市场行情走势最新

2021年,数字资产市场快速扩张,总价值飙升至超过2万亿美元。然而,同年,犯罪分子利用监管弱点从不断扩大的生态系统中吸走了创纪录的140亿美元.

ORC:Orca联合创始人Yutaro专访-ODAILY_SOLA

Ori:现在是一个非常激动人心的时刻,有这么多的公告要公布,每个人都想知道Orca接下来会发生什么,所以我们想和你们直接谈谈接下来会发生什么。我专注于Orca的所有非技术方面,如战略和市场营销.

ORC:区块客周刊:YouTube正在探索NFT功能,Debank推出Web3社交平台-ODAILY_TheForce.Trade

2022.1.31第103期 本期关键字 Fantom的TVL超过BSC;OpenSea一月交易额创新高;Twitter正扩大其加密团队;谷歌成立区块链部门;YouTube正在探索NFT功能;E.