权限问题：Crosswise被黑事件分析

此次攻击导致协议损失87.9万美元

近日，BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

事件分析

攻击过程如下：

QED 旗下两支基金完成 9.25 亿美元募资，拟继续在加密货币、支付等金融科技领域投资:5月23日消息，风险投资公司 QED Investors 宣布旗下两支基金完成 9.25 亿美元募资，其中一个早期阶段基金的募资规模为 6.5 亿美元，另一个早期成长基金筹集了 2.75 亿美元，新基金将支持 QED 继续在全球范围内的支付、贷款和加密货币领域进行投资。

QED 已支持 Credit Karma、Klarna、Nubank 和 Remitly 等金融科技公司，旗下加密投资组合包括加密财务公司 Meow、区块链开发平台 QuickNode、金融科技支付公司 Tribal Credit 等。[2023/5/24 15:21:37]

修改owner

Aptos主网交易总量突破1亿笔:金色财经报道，据 Aptos Explorer 数据显示，Aptos 主网交易总量已突破 1 亿笔，达到 101,110,964 笔，活跃质押数量超 8.44 亿枚，活跃节点数量 104 个。[2023/3/13 13:00:03]

首先设置trustedFowarder，然后通过transferOwnership函数修改owner。该过程中，自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制，导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果，最终使得owner可以被其他用户修改。

数据：过去一周，Lido TVL上涨了11.89%:2月21日消息，Dune数据显示，过去一周，由于ETH价格上涨和新存款的涌入，Lido TVL上涨了11.89%，目前暂报84.4亿美元；Lido在每周新的ETH存款中，占有44.8%的份额；AaveAave V3 wstETH池获得33.2%增长。[2023/2/21 12:20:31]

由于上一步攻击者修改了owner，即获取了owner权限，因此，攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。

Goldmoney创始人：比特币已成功度过“加密寒冬”:金色财经报道，据Goldmoney创始人、知名金融分析师James Turk在社交媒体发文称，比特币已经成功度过“加密寒冬”。James Turk称，作为市值最大的加密货币，比特币已经可能已经触及看跌周期底部并开始与黄金同步发展，因此其表现已经不再跟随传统的科技股，此外美国通胀似乎已经见顶，这对风险资产而言是个好兆头，他分析称“比特币没有底部，因为美元没有底部”。[2023/1/16 11:14:01]

MaskEX交易所与加密托管服务商HyperBC达成战略合作:据官方消息，MaskEX交易所与加密托管服务商HyperBC达成战略合作，HyperBC将为MaskEX提供加密支付解决方案，在MaskEX的业务场景中为用户提供高效、安全的支付体验。

MaskEX旨在为机构用户、家族基金、个人用户提供投资加密货币市场的专业解决方案与具有竞争力的产品，使用户能够在不断变化的加密金融市场中稳健获得价值。

HyperBC 是行业领先的资产托管解决方案提供商，为企业在区块链上存储和管理他们的数字资产提供安全保障。HyperBC拥有行业领先的安全性和风险控制技术，为用户提供定制和可扩展的加密资产托管解决方案，自 2017 年成立以来，HyperBC为全球 50 多家企业提供资产托管服务，资金总额逾百亿美元。[2022/11/16 13:11:38]

通过MasterChef合约中的withdraw函数提取了692184.64CRSS.

将CRSS兑换为BNB.

通过Tornado实现混币，将盗取的BNB转移到其他账户地址

总结：本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞，导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限，最后通过Owner权限窃取了项目中的资金。另外，攻击者账户发起攻击的资金来源于Tornado混币平台。

安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

来源：金色财经

标签：NEROWNMASSTELCG EnergyLab Grown Diamondmetamask官网下载安卓StereoAI

MEXC热门资讯