EFI:恶意初始化：Punk Protocol被黑事件分析_比特币走势分析

8月10日，去中心化年金协议?PunkProtocol遭到攻击，损失890万美元，后来团队又找回了495万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，攻击原因在于投资策略中找到了一个关键漏洞：CompoundModel代码中缺少初始化函数的修饰符的问题，可以被重复初始化。希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

黑客1的两笔攻击交易：

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

慢雾：Apple Store恶意钓鱼程序可模仿正常应用程序，盗取账号密码以绕过2FA:7月25日消息，慢雾首席信息安全官23pds发推提醒用户注意Apple ID出现的最新攻击案例，其中Apple Store出现恶意钓鱼程序，通过模仿正常应用程序盗取用户账号和密码，然后攻击者把自己的号码加入双重认证的信任号码，控制账号权限，用来绕过苹果的2FA。“加密货币用户务必注意，因为目前有不少用户、钱包的备份方案是iCloud备份，一旦被攻击，可能造成资产损失”。[2023/7/25 15:56:56]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

动态 | 黑客正利用恶意软件删除程序隐藏恶意代码挖掘加密货币:网络安全公司趋势科技（Trend Micro）最新报告显示，加密黑客现在正在利用所谓的恶意软件删除程序来隐藏用户计算机上的恶意代码，以便在用户不知情的情况下挖掘加密货币。该报告称，这种方法在已在包括巴西，印度，孟加拉国和科威特在内的多个亚洲和南美国家中流行。（Decrypt ）[2019/12/14]

黑客2的两笔攻击交易

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

动态 | 恶意软件The Pirate Bay劫持网站以窃取加密货币:据CCN消息，从恶意软件The Pirate Bay下载电影会使大规模的用户遭受加密货币盗窃和网络钓鱼。该恶意软件在用户的计算机上执行一系列恶意活动，包括禁用Windows Defender并在Firefox和Chrome浏览器中安装病扩展。该恶意软件还能够替换接受比特币支付的网页提供的加密钱包地址，以便将受感染系统的所有付款转发到黑客的钱包。[2019/1/17]

黑客2的攻击合约地址：

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址：

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

动态 | 恶意软件通过谈论SLACK和DISCORD上的数字货币来攻击MacOS用户:据bitcoinist消息，安全研究人员透露，一款针对MacOS用户的恶意软件正通过谈论Slack和Discord上的数字货币进行攻击。据悉，攻击者将在与数字货币有关的聊天中冒充“关键人物”，然后共享恶意脚本，并试图鼓励用户将脚本粘贴到mac的终端窗口。之后，该窗口会发送命令下载一个34MB的文件并执行它；这一过程将为黑客建立一个远程连接。文章建议，为了防止恶意软件造成损害，用户要避免在终端窗口上粘贴别人提供的脚本。[2018/7/5]

黑客2退回的两笔交易地址：

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

下面以黑客1正式攻击交易为例

黑客的攻击执行了delegateCall，将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。

然后，它执行withdrawToForge函数并将所有资金发送到攻击者的合约。

随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。

链接到forge_的所有CompoundModel都使用相同的代码，因此所有资产都转移到攻击者的合约中。目前，导致黑客入侵的代码已被项目方修补。添加了两个Modifiers，这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。

二、安全建议

本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制，可以被重复初始化。初始化函数应只能调用一次，而且需要进行调用者权限鉴别；如果合约是使用初始化函数，而不是在构造函数中进行初始化，则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵，造成合约关键参数和逻辑的错误。

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：EFIFORGEORG比特币efinity币分配Vulcan ForgedSCORGI比特币走势分析

Fil热门资讯