宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MEXC > 正文

权限问题:Crosswise被黑事件分析

作者:

时间:1900/1/1 0:00:00

此次攻击导致协议损失87.9万美元

近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

事件分析

攻击过程如下:

QED 旗下两支基金完成 9.25 亿美元募资,拟继续在加密货币、支付等金融科技领域投资:5月23日消息,风险投资公司 QED Investors 宣布旗下两支基金完成 9.25 亿美元募资,其中一个早期阶段基金的募资规模为 6.5 亿美元,另一个早期成长基金筹集了 2.75 亿美元,新基金将支持 QED 继续在全球范围内的支付、贷款和加密货币领域进行投资。

QED 已支持 Credit Karma、Klarna、Nubank 和 Remitly 等金融科技公司,旗下加密投资组合包括加密财务公司 Meow、区块链开发平台 QuickNode、金融科技支付公司 Tribal Credit 等。[2023/5/24 15:21:37]

修改owner

Aptos主网交易总量突破1亿笔:金色财经报道,据 Aptos Explorer 数据显示,Aptos 主网交易总量已突破 1 亿笔,达到 101,110,964 笔,活跃质押数量超 8.44 亿枚,活跃节点数量 104 个。[2023/3/13 13:00:03]

首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。

数据:过去一周,Lido TVL上涨了11.89%:2月21日消息,Dune数据显示,过去一周,由于ETH价格上涨和新存款的涌入,Lido TVL上涨了11.89%,目前暂报84.4亿美元;Lido在每周新的ETH存款中,占有44.8%的份额;AaveAave V3 wstETH池获得33.2%增长。[2023/2/21 12:20:31]

由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。

Goldmoney创始人:比特币已成功度过“加密寒冬”:金色财经报道,据Goldmoney创始人、知名金融分析师James Turk在社交媒体发文称,比特币已经成功度过“加密寒冬”。James Turk称,作为市值最大的加密货币,比特币已经可能已经触及看跌周期底部并开始与黄金同步发展,因此其表现已经不再跟随传统的科技股,此外美国通胀似乎已经见顶,这对风险资产而言是个好兆头,他分析称“比特币没有底部,因为美元没有底部”。[2023/1/16 11:14:01]

MaskEX交易所与加密托管服务商HyperBC达成战略合作:据官方消息,MaskEX交易所与加密托管服务商HyperBC达成战略合作,HyperBC将为MaskEX提供加密支付解决方案,在MaskEX的业务场景中为用户提供高效、安全的支付体验。

MaskEX旨在为机构用户、家族基金、个人用户提供投资加密货币市场的专业解决方案与具有竞争力的产品,使用户能够在不断变化的加密金融市场中稳健获得价值。

HyperBC 是行业领先的资产托管解决方案提供商,为企业在区块链上存储和管理他们的数字资产提供安全保障。HyperBC拥有行业领先的安全性和风险控制技术,为用户提供定制和可扩展的加密资产托管解决方案,自 2017 年成立以来,HyperBC为全球 50 多家企业提供资产托管服务,资金总额逾百亿美元。[2022/11/16 13:11:38]

通过MasterChef合约中的withdraw函数提取了692184.64CRSS.

将CRSS兑换为BNB.

通过Tornado实现混币,将盗取的BNB转移到其他账户地址

总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。

安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

来源:金色财经

标签:NEROWNMASSTELCG EnergyLab Grown Diamondmetamask官网下载安卓StereoAI

MEXC热门资讯
ZK与以太坊扩容的未来

Arbitrum最近发布了一篇精彩的文章,认为OptimisticRollups(OR)代表了以太坊的未来,因为与ZKRollups(ZKR)相比,它们提供了天然的可扩展性和成本优势。他们的文章写得很好,值得一读.

1900/1/1 0:00:00
跨链DeFi会爆发——关于2022年DeFi之路的思考

链茶速递是链茶馆旗下编译团队,关注区块链及加密货币领域最新动向,重点介绍国外的新观点、新风向。 来源:Dailyhodl作者:BrianPasfield 翻译:?北辰 BrianPasfield是FringeFinance的首席技术官.

1900/1/1 0:00:00
为什么说Kava是公链赛道的下一个重量级玩家?

Kava?的故事,要从?Cosmos?开始说起。随着以Terra为代表的生态项目相继崛起,以及链间通信协议的最终落地,人们对于Cosmos及其生态内项目的认知和价值评估逻辑已有了新的变化.

1900/1/1 0:00:00
Web3的世界里,「创造者经济」将统治新的时代

很多年前,“主流媒体”主导着娱乐界和新闻界。少数的几家公司控制着我们大多数人所有阅读、查看和收听的内容。为了能参与对话,我们必须受雇于这些媒体集团之一,或者使自己变得足够重要,才有可能在他们讲述的故事中出现.

1900/1/1 0:00:00
盘点2022年1月发生较典型安全事件超17起

又到了每月安全盘点时刻!据成都链安安全舆情监控数据显示:2022年1月,各类安全事件仍然时有发生,1月发生较典型安全事件超『17』起。从总体上看,整体安全事件发生数量相较去年12月有所降低.

1900/1/1 0:00:00
金色观察|Cosmos网络中的关键部分

Cosmos生态目前是跨链生态里进度最前沿的网络,基于跨链网络的融合性,Cosmos未来产品的多样性是值得期待的。因此,本文里,我们将把Cosmos网络运行中重点部分的资料整理。可以基于这些资料来了解Cosmos的可能性.

1900/1/1 0:00:00