此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
Merlin:建议用户撤销钱包在其官网的两个权限:4月26日消息,zkSync生态DEX Merlin发布公告称正在分析协议漏洞,并提醒用户撤销钱包在其官方网站上的连接站点访问权限和签名权限。[2023/4/26 14:27:34]
修改owner
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
NFTfi与Safe合作创建首个NFT权限管理钱包:金色财经报道,NFT借贷协议 NFTfi 和数字资产管理器Safe合作为NFT所有者开发了一种新产品,旨在为数字资产提供附加值。NFTfi 和 Safe 提出的解决方案是 NFT 权限管理钱包,允许安全的以太坊钱包用户将与 NFT 相关的某些权利和权限隔离并委托给其他以太坊地址。?
作为合作伙伴关系的一部分,Safe宣布对NFTfi进行未披露金额的投资,该投资将成为Safe产品套件的一部分。[2022/8/17 12:32:01]
Optimism 宣布取消白名单,将完全开放部署应用程序权限:12月17日消息,Optimism今日宣布已取消白名单,从今日起任何人都可在Optimism系统上自由部署合约、构建应用程序,未来升级将保留所有状态、交易历史和事件数据。Optimism官方表示:“取消白名单加上EVM 等效升级的完成意味着 Optimism 比以往任何时候都更容易获得。权力下放是一个具有挑战性且循序渐进的过程。无需许可的合约部署使我们离真正开放、可访问、积极的以太坊愿景更近了一步。”
11月,Optimism 宣布正式上线 EVM (以太坊虚拟机)等效性,简化了开发者的开发过程以及降低交易费用。[2021/12/17 7:45:26]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
声音 | 慢雾科技余弦:攻击者通过同样的手机号搞定目标用户在 Coinbase 上的权限:慢雾科技创始人余弦针对最近数字货币交易平台的 SIM 卡转移攻击发文称,前些天有人的 Coinbase 账号遭遇了 SIM Port Attack(SIM 卡转移攻击),损失了超过 10 万美金的数字货币,很惨痛。攻击过程大概是:攻击者通过社会工程学等手法拿到目标用户的隐私,并到运营商得到一张新的 SIM 卡,然后通过同样的手机号轻松搞定目标用户在 Coinbase 上的权限。SIM 都被转移了,这就很麻烦了,基本来说我们很多在线服务都是通过手机号来做的二次验证或直接身份验证,这是一个非常中心化的认证方式,手机号成为攻击的弱点。这个攻击以前在国内也有不少案例,运营商的风控策略也越来越强大,但策略这东西总是有绕过方式,这种方式主要就是社会工程学,当然也不排除其他方式的结合。不是我不信任运营商或中心化服务,而是这种重要的资产,大家要更加谨慎了,大额的数字货币是不是应该有更安全的存放方式?相关平台的安全风控策略是不是也该多琢磨如何再提升提升?[2019/5/27]
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。