前言
2022年1月18日,知道创宇区块链安全实验室监测到BSC上Crosswise遭遇攻击,此次攻击导致协议损失87.9万美元。
攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS。实验室将对本次事件深入跟踪并进行分析。
基础信息
攻击交易哈希:
0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b
攻击者地址:
0x748346113B6d61870Aa0961C6D3FB38742fc5089
攻击合约:
0x530B338261F8686e49403D1b5264E7a1E169F06b
Curve创始人再次通过OTC卖出375万枚CRV,并在Aave上偿还150万枚USDT:8月4日消息,据链上数据监测,Curve创始人Egorov于20分钟前再次通过OTC卖出375万枚CRV,随后在Aave上偿还150万枚USDT。
数据显示,本次交易的买家为加密原创作者、分析师237.eth(@fxs2327)。[2023/8/4 16:18:55]
MasterChef:
0x70873211CB64c1D4EC027Ea63A399A7d07c4085B
CrosswiseRouter:
0x8B6e0Aa1E9363765Ea106fa42Fc665C691443b63
CRSS:
0x99FEFBC5cA74cc740395D65D384EDD52Cb3088Bb
Grayscale的GBTC折扣扩大至接近历史最高水平:金色财经报道,Grayscale的比特币信托(GBTC)是全球最大的公开交易比特币基金,其折价扩大至接近历史高位。根据TradeBlock的数据,周一GBTC对资产净值(NAV)的折让达到自12月29日以来的最低水平。据美国证券备案文件显示,数字货币集团(DCG)开始以大幅折扣出售由Grayscale运营的几种投资工具。自该报告于2月7日发布以来,折扣一直在扩大,当时折扣为43%。
该股目前的交易价格较资产净值折让47%,是自2022年12月下旬以来的最大折让,当时折价达到创纪录的49%。在Genesis和DCG暴露于名誉扫地的加密货币交易所FTX的消息传出后,折扣最初暴跌。在Grayscale宣布将出售其信托股份以偿还Genesis的债权人后,1月份的涨势结束,Genesis于1月19日根据美国破产法第11章申请了破产保护,而且灰度是否决定起诉美国证券交易委员会的决定存在不确定性。拒绝了其将信托转变为现货比特币交易所交易基金的申请。[2023/2/14 12:05:01]
攻击核心
Voyager Digital将于9月13日举行资产拍卖:金色财经报道,Voyager Digital将于9月13日为合格的投标人举行资产拍卖,投标人昨天提交了报价。 拍卖结果将于9月29日公布。[2022/9/7 13:14:47]
此次攻击的核心在于,Crosswise中的MasterChef合约Owner地址设置即transferOwnership函数能够被攻击者绕过,使得攻击者能够成为新的Owner并对MasterChef池子进行攻击利用。我们将本次攻击过程分为两个阶段进行分析:获取Owner权限攻击和MasterChef池攻击。
获取Owner权限攻击
1.由于在MasterChef合约中setTrustedForwarder函数为公开可见性且未作权限设置,攻击者先将自己的地址设置为TrustedForwarde地址。
对冲基金RenTech成为MicroStrategy股票的第三大买家:金色财经报道,对冲基金RenTech(Renaissance Technologies)已成为MicroStrategy股票的第三大买家买家。市场数据表明,RenTech在6月和9月购买了MicroStrategy的股票,将其持股比例提高到所有流通股的1.96%。这些股票的总价值超过4000万美元,每股价格为285美元。此前4月份消息,RenTech在一份提交给监管机构的文档中表示,旗下The Medallion Funds(大奖章基金)被允许进行比特币期货交易,将限于CME的现金交割期货合约。[2020/12/10 14:44:52]
公告 | OKEx将于10月23日上线CRO/BTC交易对:据官方消息,OKEx将于10月23日15:00上线CRO/BTC交易对。[2019/10/21]
2.Crosswisefi项目方对MasterChef的_msgSender()函数并未采取openzepplin的标准写法且存在漏洞,导致攻击者能够通过构造恶意的calldata实现绕过onlyOwner限制完成合约Owner的获取。
下图为攻击者绕过onlyOwner权限构造的恶意payload:
MasterChef池攻击
1.攻击者在CrosswiseRouter中用0.01个WBNB兑换出3.71个CRSS
2.攻击者调用deposit将1个CRSS质押到CrosswiseMasterChef
3.由于上一阶段攻击者已经获取到MasterChef的Owner权限,此时攻击者调用set函数对MasterChef的pid为0的池子重新部署了一个未开源的策略合约:0xccddce9f0e241a5ea0e76465c59e9f0c41727003
4.攻击者调用MasterChef的withdraw函数从池子中获取692K的CRSS
5.最后攻击者把692K的CRSS通过CrosswiseRouter合约swap兑换出547个BNB完成攻击,获利超87.9万美元。
策略合约
猜想
由于攻击者部署的策略合约并未开源,我们只能反向推导猜想策略合约的主要逻辑:
1.根据下图第18行代码可以推断出合约中lockedAmount应该是一个极大值才能支撑攻击者692k的代币转出;又根据第7-11行可以推导出攻击者部署的strategy合约的LockeTotal()函数返回值极大、sharesTotal()返回值极小。
2.在上图代码23行当_amount>0时,会先计算出user的shareRemoved,然后在执行user.amount=user.amount.sub(shareRemoved);,此时若shareRemoved大于user.amount则代码执行不会通过,可以推导出26行的shareRemoved值很小,又shareRemoved是调用攻击者部署strategy合约中withdraw获取,所以此时的strategy合约中withdraw的返回值会很小,小于之前质押的1个CRSS数量;再结合链上数据可推导攻击者部署strategy合约中的withdraw调用返回值为0。
反编译
为了证实我们的猜想是否正确,我们将攻击者部署的策略合约进行反编译。
反编译后我们可以发现存在一个极大值和一个较小值的常量,即对应猜想1中LockeTotal和sharesTotal值,猜想1正确。
对于猜想2,经过反编译后我们可以看到策略合约的withdraw最后的返回值为0,猜想2正确
总结
这次攻击产生的主要原因是项目方使用错误的方法去获取msgSender,导致合约的Owner权限更改能被绕过。知道创宇区块链安全实验室在此提醒,任何有关合约权限问题的操作都需要慎重考虑,合约审计、风控措施、应急计划等都有必要切实落实。
标签:TERSTEMASTERMASSplinterlandsArtificial intelligence ecoystemSports mastermastiffdog
PocketNetwork作为基础设施中间件协议,其去中心化节点基础设施已扩展至全球30多个国家和地区,分布于6大洲中,为Ethereum,Polygon,Solana,Avalanche.
简单的总结 1)要求不可验证的信任。像Web2/离线服务一样,权限是在链下确认的。一个例子是众筹平台,在这些平台上,利益和权利往往以文字形式写下来,在实际购买后很难执行/验证.
“因为稀有才是珍贵的,而水是最便宜的,但最好的。”——柏拉图,《欧西德摩斯》30多年前,第一个网页是在欧洲核子研究中心所创建的,由TimBerners-Lee爵士和其他科学家想象构建.
过去的2021年,对区块链行业而言是不平凡的一年。 群情激昂,热点更迭。 NFT、元宇宙、Web3.0,市场在创新微力量中孕育出一次次发展契机,又在草莽和秩序混乱中接受一次次喘息和调整.
DAOrayakiDAO研究奖金池:大约一周前,我们发布了下面这条推文,并收到了大量回复: 文档和团队知识管理工具是DAO的一大痛点.
介绍 拥有民主化的科学不是很好吗?当然是!然而,许多人会说这是一个乌托邦的愿景,而不太可能成真.