慢雾分析Multichain被盗经过，合约一函数未检查用户传入Token的合法性

?Multichain(AnySwap)此前一个影响6个跨链Token的关键漏洞被利用，导致被盗取445ETH。慢雾安全团队分析了安全事件经过，

1.用户可以通过Multichain的AnyswapV4Router合约进行资金跨链操作，在进行资金跨链时用户需要将待跨链的代币授权给AnyswapV4Router合约。??

2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函数。此函数允许用户在链下进行授权签名，链上验证并授权的操作。在此函数中，其会先通过调用用户传入的Token地址的underlying函数来获取underlying代币地址(正常情况下用户传入的Token地址应该是anyToken，获取underlying代币应该是用户要跨链的资产，如anyUSDT与USDT)，随后通过underlying代币的permit函数进行签名检查与授权操作，授权完成后通过safeTransferFrom将代币转入anyToken合约中，最后通过_anySwapOut触发事件。??

慢雾：去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息，2022年3月29日，Acutus的ACOWriter合约遭受攻击，其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控，攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 14:25:07]

3.但由于anySwapOutUnderlyingWithPermit函数中未检查用户传入的token的合法性，且由于WETH代币不存在permit函数的同时实现了fallback函数，而permit函数接口也恰好没有返回值，因此在对WETH合约的permit函数进行调用时是不会抛出错误的。攻击者正是利用此问题构造了恶意的Token地址，使得anySwapOutUnderlyingWithPermit函数获取的underlying为WETH，将先前有将WETH代币授权给AnyswapV4Router合约的用户的WETH直接转移到攻击者恶意构造的Token地址中。??

慢雾简析Qubit被盗原因：对白名单代币进行转账操作时未对其是否是0地址再次进行检查:据慢雾区情报，2022 年 01 月 28 日，Qubit 项目的 QBridge 遭受攻击损失约 8000 万美金。慢雾安全团队进行分析后表示，本次攻击的主要原因在于在充值普通代币与 native 代币分开实现的情况下，在对白名单内的代币进行转账操作时未对其是否是 0 地址再次进行检查，导致本该通过 native 充值函数进行充值的操作却能顺利走通普通代币充值逻辑。慢雾安全团队建议在对充值代币进行白名单检查后仍需对充值的是否为 native 代币进行检查。[2022/1/28 9:19:19]

此次主要是由于anySwapOutUnderlyingWithPermit函数未检查用户传入的Token的合法性，且未考虑并非所有underlying代币都有实现permit函数，导致用户资产被未授权转出。慢雾安全团队建议：应对用户传入的参数是否符合预期进行检查，且在与其他合约进行对接时应考虑好兼容性问题。??

动态 | 慢雾发布针对 EOS 交易 hard_fail 状态的新型攻击说明:据 IMEOS 报道，慢雾发文解析了 hard_fail 状态攻击，根据其的情报捕获与分析，慢雾意识到针对 EOS hard_faild 状态的新型攻击手法可能会造成更大范围的影响，本次手法成因为项目方未对交易状态进行严格且完备的检验导致攻击发生，属于“假充值”攻击类型的一种。在此，慢雾安全团队建议交易所和钱包要对发送给自己的转账交易在不可逆的区块前提下检测以下几点：1. 判断 status 是否为 executed2. 判断 action 是否为 transfer3. 判断合约账号是否为 eosio.token 或其它 token 的官方合约4. 判断代币名称及精度5. 判断金额6. 判断 to 是否是自己平台的充币账号补充说明：本次攻击可绕过节点 read-only 模式，开启 read-only 模式仍然会受到攻击。因为交易的状态为：未执行->已经执行但执行失败，并不是回滚所以即使开启了 read-only 模式，依然会受到攻击。[2019/3/12]

参考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d

标签：ANYKENTOKENTOKAnySniperDas Galaxy Talent Tokenimtoken钱包官方版下载教程Huobi Vitamin Token

BTC热门资讯