创宇区块链｜小缺陷大损失 GYM Network 何至于此

前言

北京时间2022年6月8日，知道创宇区块链安全实验室?自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击，损失包括7475枚BNB，共计约216W美元，目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊，2000枚BNB利用BSC-Tornado进行混币，余下3000枚BNB在攻击者地址。

知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

基础信息

被攻击合约：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

微软收购动视暴雪获美国法院同意:金色财经报道，美国旧金山联邦法院法官杰奎琳·斯科特·科利裁定微软可推进对动视暴雪收购案，驳回美国联邦贸易委员会（FTC）提出的初步禁令动议。随着法院做出上述裁决，在7月18日的最后期限前，微软可在除英国以外的任何市场寻求完成与动视暴雪的合并。今年5月，英国监管机构否决了这宗交易。[2023/7/12 10:49:20]

攻击者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2

萨尔瓦多计划在美国德克萨斯州开设比特币大使馆:2月15日消息，萨尔瓦多驻美国大使Milena Mayorga今日在推特上表示，她与萨尔瓦多的其他代表和德克萨斯州政府的副国务卿Joe Esparza举行了一次会议，讨论了第二个比特币大使馆的开放以及商业和经济交流项目的扩展。

此前去年10月消息，萨尔瓦多在卢加诺设立了一个比特币办公室，即比特币大使馆。[2023/2/15 12:08:11]

漏洞分析

项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制，导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押：

FTX破产促使美国立法者将审查重心放于SEC主席Gary Gensler之上:12月15日消息，由于FTX破产及其创始人SBF被捕，美国立法者开始将审查重心放在美国证券交易委员会主席Gary Gensler身上。

上周Gary Gensler出席众议院金融服务委员会听证会的作证没有令国会满意，监督美国证券交易委员会的参议院银行委员会也称没有看到Gary Gensler给出明确的问题解决计划和更多行动，立法者还要求Gary Gensler必须在国会作证并回答有关其监管失败成本的问题。

根据Cornerstone Research数据显示，美国证券交易委员会在2013年至2021年间对未注册Token提起了44次诉讼，但比例远低于未注册Token数量的1%。（《华盛顿邮报》）[2022/12/15 21:45:58]

对于应该开放给用户的质押内部函数是_deposit函数，该函数实现了对于token的审批传入，如下图所示：

Azuki系列NFT当前地板价为10.9ETH:金色财经消息，据NFTGo.io数据显示，Azuki系列NFT总市值达3.91亿美元，在所有NFT项目总市值排名中位列第12；其24小时交易额为82.57万美元，增幅达124.43%。截止发稿时，该系列NFT当前地板价为10.9ETH。[2022/5/31 3:51:36]

对应的_autoDeposit函数则实现了"特权"质押，即不需要转入Token进行质押。同时该函数直接暴露给了用户，函数对比如下：

攻击流程

攻击者为了防止链上MEV和抢跑机器人，将合约进行了分步部署执行，同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离，以其中一笔部署调用为例：

Galaxy Digital创始人：LUNA纹身将不断提醒我风险投资需保持谦逊:5月19日消息，Galaxy Digital 在官方社交媒体发文表示，该加密投资公司创始人兼首席执行官 Mike Novogratz 发表了一封公开信，这也是 Terra/UST 事件经过了 10 天之后，Mike Novogratz 首次打破沉默。此前 Mike Novogratz 非常支持 LUNA 甚至在胳膊上做了纹身，在公开信中，他表示现在这个纹身将不断提醒他加密风险投资需要保持谦逊。Mike Novogratz 还表示，UST 的机制是公开透明的，而且试图创造一种可以在数字世界中运转的算法 Stablecoin，虽然这个想法很不错，但最终失败了，主要原因是储备资产的下行压力加上 UST 挤兑引发崩盘。

不过，Mike Novogratz特别指出，截至 5 月 11 日，Galaxy Digital 公开了流动性、资本和运营业绩，其中显示储备金中没有使用任何算法 Stablecoin。[2022/5/19 3:27:14]

1.部署合约后调用depositFromOtherContract实"特权"质押，对应0xfd4a2266方法：

内部调用细节如下:

2.调用0x30649e15实现对上一步特权质押的Token回撤：

3.利用0x1d111d13函数售出获取到的的GYM-Token：

重复多次"特权"质押--回撤--售出步骤，攻击者最终获取到7475枚BNB:

为了抑制抢跑，攻击者将添加质押和回撤进行了步骤分离，两个步骤均为核心操作，同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。

溯源处置

本次攻击原因是项目方实现的特权函数权限控制不当，在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改，为其添加了权限控制：

并在20分钟后对逻辑合约添加了紧急账户处置函数：

而对于项目方Deployer地址分析，其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞，4天前的合约则不存在此函数：

同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago：

攻击者的资金准备(FromTornado)则在约6小时以前，攻击者的身份也值得令人深思。

总结

虽然只是一处小的控制缺陷，却导致了数百万美元的损失。项目方的处置虽较为及时，漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用，各项目方在开发和审计流程上切莫大意。

来源：金色财经

标签：GYMTOKENDEPTOKGYMNETAlttex TokenonekeydepayERTH Token

以太坊价格热门资讯