前?
2022年2月8日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。
攻击涉及基础信息
Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f
酒店预订平台Travala支持使用SUPER预订旅游产品:8月5日谢谢,酒店预订平台Travala支持使用SUPER付款,SUPER代币持有者可预订全球范围内的各种旅游产品,包括酒店、住宅、航班、旅游和活动等300多万种旅游产品。[2021/8/5 1:36:14]
攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67
黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090
10月NFT数字艺术销售额再创新高,SuperRare销售额增长72%:DuneAnalytics数据显示,10月NFT数字艺术销售额再创新高,达168万美元,其中,加密艺术交易平台SuperRare销售额增长了72%。此外,由于加密艺术交易平台NiftyGateway的支付是在链下以法币支付,所以数据并未统计在内。[2020/11/2 11:25:59]
攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4
挖矿木马SysupdataMiner利用漏洞攻击Windows、Linux:腾讯御见威胁情报中心今日发文称,近期腾讯安全威胁情报中心检测到一例跨平台挖矿木马SysupdataMiner。该挖矿木马利用SSH免密登录的漏洞在内网传播,然后利用扫描工具扫描外网Redis服务器并进行弱口令爆破攻击。在感染的机器上,SysupdataMiner会检测阿里云骑士和腾讯云镜并进行卸载,会通过多种特征检测其他挖矿木马并进行清除,然后下载门罗币挖矿木马sysupdata并启动SysupdataMiner具有针对Windows系统和Linux系统进行攻击的两套脚本和木马文件,可进行跨平台攻击。[2020/3/8]
漏洞分析
漏洞核心
此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。
漏洞利用
为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?
从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。
而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:
总结
本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
TRONSCAN最新数据显示,过去二十七周,TRX持续处于通缩状态,通缩量达3.82亿枚TRX.
1900/1/1 0:00:002021年8月,TokenTerminal数据显示,NFT区块链游戏AxieInfinity以高达3.34亿美元的30日营收业绩,远远超过《王者荣耀》在7月的2.31亿美元收入.
1900/1/1 0:00:00DAO的定义那么,什么是DAO?我们能正确地定义它吗?我们可以从两个角度来尝试定义。愿景中的DAO理想情况下,DAO可以在没有任何中央权威或管理层的情况下独立运作,这表现在DAO可以通过使用人工.
1900/1/1 0:00:00稳定币是指与另一种资产的价格挂钩的代币,例如美元。第一个创立的稳定币是TetherUSDT,尽管多年来的传言、流言和仍未公开审计的隐蔽记录,但它至今仍是市场主导的代币.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品背景或许我们很难想象随着元宇宙、区块链和Web3的火热,越来越多的投资机构和创业者开始加入到了这场浪潮中.
1900/1/1 0:00:00BNBChain开发者社区致力于为智能合约开发者提供顶尖的开发基础架构,帮助他们打造出成熟且安全的去中心化应用.
1900/1/1 0:00:00