CORN:成都链安：Bancor Network漏洞事件分析

一、事件简述

2020-06-18(文中所提及时间均为UTC时间)，以太坊上的智能合约BancorNetwork被爆出存在严重漏洞。该漏洞由BancorNetwork团队和白帽最先发现，并第一时间对存在被盗风险的资金进行了转移，涉及资金50W余美元。此次事件中，存在漏洞的合约地址主要有如下三个：0x923cab01e6a4639664aa64b76396eec0ea7d3a5f0x8dfeb86c7c962577ded19ab2050ac78654fea9f70x5f58058c0ec971492166763c8c22632b583f667f2020-06-183:06:48，BancorNetwork团队利用此漏洞对存在被盗风险的用户资金进行转移，截至2020-06-186:56，BancorNetwork团队共计转移资金约合$409,656。另外两个公开邮箱信息的地址:0x052ede4c2a04670be329db369c4563283391a3ea0x1ad1099487b11879e6116ca1ceee486d1efa7b00也于同一时间利用此漏洞对用户资金进行转移，分别转出资金$131,889和$2346。到目前为止：EtherScan已经将存在此漏洞的合约进行标注，如下图所示

BSN开放联盟链成都链已上线:金色财经报道，近日，区块链服务网络BSN表示，开放联盟链成都链已在BSN环境内上线，这是基于BSN环境上线的第9条开放联盟链。BSN开放联盟链（简称OPB）包括多条基于公有链框架和联盟链框架搭建的公用链，此次上线的成都链是基于公链Casper框架进行合规化改造而来。[2022/12/15 21:46:38]

图一BancorNetwork团队也已对此次事件做出了回应，

详情见，并于UTC时间2020-06-1721:35:53部署了新的BancorNetwork合约，合约地址为0x2f9ec37d6ccfff1cab21733bdadede11c823ccb0二、原理分析

成都链安：国内天穹数藏宣称遭黑客攻击，黑客利用虚假余额购买盗取用户的藏品:5月17日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，天穹数藏宣称遭黑客攻击，藏品售价异常高达近千万元。根据平台公告称：平台数据遭遇大量恶意攻击，黑客利用虚假余额购买盗取用户的藏品，导致数据异常，目前已恢复，平台已第一时间报警处理。成都链安安全团队初步分析，导致本次攻击的原因猜测为：攻击者通过传统网络安全攻破了平台方数据库，恶意篡改账户余额，导致大量用户高价挂单仍可成交，最终导致数据异常。成都链安安全团队建议：

1、 国内数字藏品平台方在设计、实现和部署的过程中，要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域，做好安全防护；

2、 国内数字藏品平台方在运维的过程中，要做好金融风控的设计和实施，避免出现大规模资金异动而不自知的情况；

3、 数字藏品消费者在选择交易平台时，需要关注平台合规风险，注意保障自身财产安全；

4、 数字藏品消费者警惕炒作风险和市场泡沫，避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]

漏洞爆出后，成都链安安全团队第一时间对本次事件进行跟踪分析，根据链上分析结果发现，此次事件中漏洞产生的主要原因是智能合约BancorNetwork存在一个调用权限为public的函数safeTransferFrom，通过调用此函数，可以将用户授权给智能合约BancorNetwork的资金转出到任意地址。由源码可以知，该函数为一个public函数，详细代码如下图所示：

成都链安CMO：交易所需建设一套完整的资金内控系统:3月11日晚8点，成都链安CMO Adolfo Gao做客“抹茶周三见”时发表观点：交易所需建设一套完整的资金内控系统，并对每笔资金的出入都应该做好审核和记录。此外他还指出，关键私钥和转账授权的防护也是重中之重。成都链安科技是最早专门从事区块链安全的公司，由前海母基金，联想创投，复星国际，分布式资本等知名企业和创投战略投资，电子科技大学杨霞教授，郭文生教授，高子扬博士联合创立。“抹茶周三见”是MXC抹茶推出的一档AMA活动，不定期邀请重量级嘉宾在周三进行分享。[2020/3/11]

图二safeTransferFrom函数内部调用了execute函数。而execute函数的功能是调用safeTransferFrom参数中的_token代币智能合约的transferFrom函数进行代理转账。execute函数源码如下图所示：

动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商（VASP）监测交易风险、执行反合规程序，帮助监管部门监督VASP合规流程执行情况，帮助执法部门快速收集虚拟资产犯罪案件证据，为受害者提供技术协助，成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务，受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后，可在网站提交相关信息，平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统，采集链上交易数据，分析加密货币犯罪和安全事件，结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]

图三我们通过一笔链上交易可以清晰的看到调用此函数的具体作用。如地址“0xc802”发起一笔交易，调用了智能合约“0x5f58”的safeTransferFrom函数，使地址”0x8a39”中的0.000000000000000003代币MFG发送到”0x2955”，具体如下图所示：

分析 | 成都链安：盗窃Upbit交易所黑客开始测试向交易所充值:据成都链安反系统（Beosin-AML）监测显示，Upbit攻击者于28日下午17:08开始向0xf467816地址转移60100ETH，并将少量ETH转往可能随机选取的中间地址。通过该地址，这笔小额ETH目前已经进入疑似火币交易所钱包地址0x5401dbf7da53e1c9。目前攻击者正在分散资金，且通过少量的ETH测试是否能够成功进入交易所。[2019/11/28]

图四以上就是本次事件漏洞的原理分析，该漏洞的原理十分简单，是因为函数的调用权限设置错误，将本应该只有合约本身调用的函数，设置成了任何人都可以调用。而当BancorNetwork拥有用户的授权额度时，任何人都可以通过调用safeTransferFrom函数，以BancorNetwork的身份对用户的资金进行代理转账。针对该漏洞，有两点值得我们进行深入分析：1.为什么BancorNetwork合约的safeTransferFrom函数会将权限设置成public。2.BancorNetwork合约的主要功能是代币转换，并非一个钱包，为什么用户会有未使用的授权。对于第一个问题，我们追踪了safeTransferFrom函数的调用情况，发现safeTransferFrom函数只在handleSourceToken函数中被调用，用于将用户的代币转移到本合约中。handleSourceToken函数源码如下图所示：

图五既然只是在handleSourceToken函数中调用，那么显然是没有必要设置成public权限，且根据业务来看，BancorNetwork的主要作用是用于代币交换，并不需要用户主动调用safeTransferFrom，也就没有必要将safetransferFrom设置为public权限。于是我们对比了合约中其他的几个函数，这几个函数均被设置成了public权限。如下图所示：

图六由此，针对第一个问题，我们推测将这些函数设置为public权限可能是因为合约开发人员的疏忽。而目前来看，BancorNetwork团队新部署的合约也验证了这个推测。根据链上代码显示，官方部署的新合约已经将相关函数权限全部进行了更改。具体代码如下图所示：

图七针对第二个问题，我们跟踪了漏洞爆出后被转移资金的地址，发现这些地址在对BancorNetwork授权额度时，往往超过了所需要兑换代币的数量，且在兑换完成后，并没有收回额度。如下图所示：

图八“0x624f”开头的地址对BancorNetwork合约授权了900000000000000个ONG代币，此额度已经超过了ONG的发行量，相当于将“0x624f”所拥有的ONG代币全部授权给BancorNetwork合约。而跟踪“0x624f”开头地址的交易我们发现，在进行完代币兑换后，未使用完所有授权额度，但并未将授权额度收回。综上所述，我们推测可能是用户考虑到要随时使用，为了方便，一次性将所有代币都授权给了BancorNetwork合约。也可能是BancorNetwork的前端对授权金额设定了默认值。但这种行为存在巨大的风险，一旦智能合约爆发漏洞，资金极易被攻击者窃取。而在对后续新的BancorNetwork合约进行分析时发现，BancorNetwork团队和用户似乎也意识到了此问题存在的巨大风险，并做出了相应的安全防护。如下图九、十为用户对新合约的授权情况，对比两笔线上交易不难看出，两次授权的时间间隔很短，当用户成功兑换完代币后，剩余授权即被收回。

图九

图十三、结语

BancorNetwork本次爆出的漏洞，是一个较为简单的漏洞，此类漏洞在代码审计过程中十分容易被发现，但此次漏洞的影响却很大，上线仅两天，涉及的资金就已经超过50w美元。幸而BancorNetwork团队及时发现并修复了漏洞，否则后果不堪设想。成都链安-安全研究团队在此提醒各大智能合约运营商，因区块链合约部署后不可更改的特性，对比传统软件，上线前做好充分的代码审计十分重要，此次事件虽未造成太大的经济损失，但势必会让用户对BancorNetwork团队产品的安全性产生质疑。另外也提醒广大用户和运营商，在授权资金给第三方合约时，都应保持谨慎，切不可盲目相信“大公司”，对任何合约的授权都应当秉承最小原则，不要使自己的资金安全掌握在他人手中。

标签：CORNETWWORTWOUNICORNWhole Networkwor币最新消息2022年Block Galaxy Network

以太坊最新价格热门资讯