前言
2022年1月18日,知道创宇区块链安全实验室监测到BSC上Crosswise遭遇攻击,此次攻击导致协议损失87.9万美元。
攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS。实验室将对本次事件深入跟踪并进行分析。
基础信息
攻击交易哈希:
0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b
攻击者地址:
0x748346113B6d61870Aa0961C6D3FB38742fc5089
攻击合约:
0x530B338261F8686e49403D1b5264E7a1E169F06b
富达Q1增持超74.7万股MicroStrategy股票MSTR,当前约2.47亿美元:6月22日消息,据CNNBusiness数据显示,富达投资旗下全资子公司富达管理与研究(Fidelity Management & Research, FMR)于2023年第一季度增持648,975股MicroStrategy股票MSTR(当前约2.15亿美元),为MSTR当季最大的机构交易。FMR净持有746,109股MSTR。
富达旗下三支共同基金Fidelity Global Innovators Investment Trust、Fidelity Canadian Growth Company、Fidelity Global Innovators Class 分别增持33,800股、41,000股、23,587股MicroStrategy股票MSTR。
此外,贝莱德基金管理公司(BlackRock Fund Advisors)于2023年第一季度增持14,923股MicroStrategy股票MSTR,净持有613,015股MSTR。[2023/6/22 21:54:15]
MasterChef:
Khala Crowdloan DApp 正式上线支持KSM质押:据官方消息,北京时间6月11日22:00,Khala Crowdloan DApp正式上线。用户现在即可前往Phala官网Khala Crowdloan DApp页面参与质押,6月22日晚8点前成功质押的用户将额外获赠1枚NFT,Khala竞拍成功上线后,用户可凭借该NFT领取质押量1%的额外PHA奖励。
Phala已于4月30日宣布Kusama插槽竞拍策略:Khala为此次竞拍提供1500万PHA奖池;用户每质押1KSM将获得100PHA奖励(即,KSM:PHA=1:100);奖励34%上线解锁,剩余66%分48周线性释放;Khala Kusama插槽正式竞拍阶段将于6月22日20时开启。除官网渠道外,用户也可通过OKEx、KuCoin、Kraken、Newland、MathWallet、Polka.js、Atoken、Nutbox等第三方平台参与支持Khala竞拍。[2021/6/11 23:31:54]
0x70873211CB64c1D4EC027Ea63A399A7d07c4085B
投资组合经理:估计MicroStrategy比特币持有量约占其总投资组合的22%:2月1日消息,哥伦比亚可转换证券基金(Columbia Convertible Securities Fund)投资组合经理Dave King表示,MicroStrategy从其比特币投资中获得的收益在8亿美元至14亿美元之间。King估计,MicroStrategy的比特币持有量约占其总投资组合的22%。(Live Bitcoin News)[2021/2/1 18:33:46]
CrosswiseRouter:
0x8B6e0Aa1E9363765Ea106fa42Fc665C691443b63
CRSS:
0x99FEFBC5cA74cc740395D65D384EDD52Cb3088Bb
加密交易平台CrossTower推出资本市场服务台:金色财经报道,加密交易平台CrossTower正在为机构客户启动资本市场服务台。CrossTower现在可在多个场所提供数字资产借贷、交易融资、结构化产品和交易执行。领导该服务台的是证券业资深人士Greg Bunn,他被聘为CrossTower的首席战略官。[2021/1/14 16:06:33]
攻击核心
此次攻击的核心在于,Crosswise中的MasterChef合约Owner地址设置即transferOwnership函数能够被攻击者绕过,使得攻击者能够成为新的Owner并对MasterChef池子进行攻击利用。我们将本次攻击过程分为两个阶段进行分析:获取Owner权限攻击和MasterChef池攻击。
获取Owner权限攻击
动态 | 主节点共享服务CrowdNode添加DASH节点服务支持:据DASH官方消息,主节点共享服务CrowdNode最近增加了DASH节点至其服务中,从而使更多的人可以接触到DASH生态系统。CoinMarketCap行情显示,DASH全球均价现为66.36美元,24小时涨幅6.81%。[2018/12/8]
1.由于在MasterChef合约中setTrustedForwarder函数为公开可见性且未作权限设置,攻击者先将自己的地址设置为TrustedForwarde地址。
2.Crosswisefi项目方对MasterChef的_msgSender()函数并未采取openzepplin的标准写法且存在漏洞,导致攻击者能够通过构造恶意的calldata实现绕过onlyOwner限制完成合约Owner的获取。
下图为攻击者绕过onlyOwner权限构造的恶意payload:
MasterChef池攻击
1.攻击者在CrosswiseRouter中用0.01个WBNB兑换出3.71个CRSS
2.攻击者调用deposit将1个CRSS质押到CrosswiseMasterChef
3.由于上一阶段攻击者已经获取到MasterChef的Owner权限,此时攻击者调用set函数对MasterChef的pid为0的池子重新部署了一个未开源的策略合约:0xccddce9f0e241a5ea0e76465c59e9f0c41727003
4.攻击者调用MasterChef的withdraw函数从池子中获取692K的CRSS
5.最后攻击者把692K的CRSS通过CrosswiseRouter合约swap兑换出547个BNB完成攻击,获利超87.9万美元。
策略合约
猜想
由于攻击者部署的策略合约并未开源,我们只能反向推导猜想策略合约的主要逻辑:
1.根据下图第18行代码可以推断出合约中lockedAmount应该是一个极大值才能支撑攻击者692k的代币转出;又根据第7-11行可以推导出攻击者部署的strategy合约的LockeTotal()函数返回值极大、sharesTotal()返回值极小。
2.在上图代码23行当_amount>0时,会先计算出user的shareRemoved,然后在执行user.amount=user.amount.sub(shareRemoved);,此时若shareRemoved大于user.amount则代码执行不会通过,可以推导出26行的shareRemoved值很小,又shareRemoved是调用攻击者部署strategy合约中withdraw获取,所以此时的strategy合约中withdraw的返回值会很小,小于之前质押的1个CRSS数量;再结合链上数据可推导攻击者部署strategy合约中的withdraw调用返回值为0。
反编译
为了证实我们的猜想是否正确,我们将攻击者部署的策略合约进行反编译。
反编译后我们可以发现存在一个极大值和一个较小值的常量,即对应猜想1中LockeTotal和sharesTotal值,猜想1正确。
对于猜想2,经过反编译后我们可以看到策略合约的withdraw最后的返回值为0,猜想2正确
总结
这次攻击产生的主要原因是项目方使用错误的方法去获取msgSender,导致合约的Owner权限更改能被绕过。知道创宇区块链安全实验室在此提醒,任何有关合约权限问题的操作都需要慎重考虑,合约审计、风控措施、应急计划等都有必要切实落实。
标签:CROCROSROSSTRSCROH价格MICROSHIB价格BrosispayWall Street Decentral Token
如何迈入区块链领域并开启良性的职业发展路径,是很多想要从Web2进入Web3领域的从业者面临的一个关键问题.
1900/1/1 0:00:00KemalElMoujahid正式加入ChainlinkLabs,他此前成功扩展了全球第一的机器学习平台。ChainlinkLabs专注为去中心化预言机开发全局标准,推动区块链实现主流应用.
1900/1/1 0:00:00版权NFT交易平台Euterpe今日宣布获得HKICEx(香港国际商品交易所)投资。HKICEx隶属于HKFAEx。香港金融资产交易集团是香港三大交易所之一.
1900/1/1 0:00:00市场观点宏观流动性货币流动性更趋紧张。周四美联储主席鲍威尔称5月会议将加息50BP,并确认了市场多次加息50BP的预期.
1900/1/1 0:00:00这是科学代币工程博客系列的第3部分。在这篇博文中,我们将把迄今为止我们讨论过的所有内容放在一起,并尝试设想一个开放的科学社区会是什么样子。请参阅第1部分和第2部分.
1900/1/1 0:00:002022年3月22日,首家使用聪本位(SATs)以推动比特币应用落地的AAX交易所宣布,即日起将支持闪电网络,并感谢LightningLabs的技术支持.
1900/1/1 0:00:00