Brahma TopGear (brahTOPG) 项目存在外部调用风险，请迅速取消授权

据慢雾安全团队监测，ETH链上的brahTOPG项目遭到攻击，攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下：

1.攻击者首先查询了受害用户0x392472的余额，接着调用了Zapper合约的zapIn函数。

加密货币钱包及交易应用Abra将服务扩展至共150多个国家或地区:金色财经报道，通过与Simplex、Moonpay、Banxa和Transak合作，加密货币钱包及交易应用Abra正在扩展其服务，该公司现已在150多个国家或地区提供服务（以前仅服务于约40个国家或地区）。[2020/12/8 14:31:30]

2.首先函数会为合约转账requiredToken参数所指定的代币，由于该函数传入的参数是外部可控的，所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。

声音 | 长江商学院学者：Facebook因监管压力刻意回避将人民币纳入Libra货币篮子:长江商学院金融MBA项目副院长李海涛的文章称，从Libra挂钩货币的构成看，显然在刻意回避将人民币纳入货币篮子。在Libra挂钩的货币中，新加坡元具有与人民币币值较高的相关性，正是出于稳定币值但又能够达到“去中国化”的目的，Libra才在货币篮子中加入了新加坡元。从白皮书中透露的协会成员列表看，Libra身上有着很明显的美国烙印，首批28个协会成员企业中，绝大多数为美国公司。而在接受美国国会质询时，Facebook CEO扎克伯格更是多次打出“中国牌”，表示中国央行的数字货币计划将成为“一带一路”倡议的一部分并成为扩大中国在亚洲和非洲影响力的外交和经济政策，相反地，扎克伯格多次提到，Libra将主要由美元支持，未来将扩大美国在全球的金融领导地位，推广美国的民主价值观。我们认为，扎克伯格的一系列“去人民币化”和“中国牌”正是反映出Libra当前面临的监管压力。（第一财经）[2019/11/19]

3.接着会调用内部函数zap，在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值，由于第二步的操作所以通过了该检查。

动态 | 华盛顿邮报：政府“害怕”Libra的原因是它不受单一机构监督:据华盛顿邮报分析指出，之所以全球政府“害怕”Facebook加密货币Libra，一个主要原因是Libra不受任何单一监管机构的监督，也不属于监管银行的联邦储备委员会的职权范围，而且在美国和其他任何地方都没有机构可以对Libra这种私人金融网络进行中央监管。[2019/7/13]

4.之后会外部调用假代币合约的approve函数，该函数为攻击者恶意构造，是为了给Zapper合约转账frax代币，此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。

5.最后外部调用了swapTarget参数所指定的合约，并且调用所传入参数也是外部可构造的，所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。

6.攻击者重复以上步骤，总共攻击了三次，转移了三个受害者账户下的USDC代币约889,343枚。

此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查，导致了任意外部调用的问题，攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

标签：LIBRALIBZAPAPPLIBRAFDaiquilibriumZAPPimtoken正版app下载

USDC热门资讯