LIB:Brahma TopGear (brahTOPG) 项目存在外部调用风险，请迅速取消授权

据慢雾安全团队监测，ETH链上的brahTOPG项目遭到攻击，攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下：

1.攻击者首先查询了受害用户0x392472的余额，接着调用了Zapper合约的zapIn函数。

交易员Peter Brandt：暂停发布有关加密推文，专注于传统市场:11月16日消息，资深交易员Peter Brandt发推表示，将暂停发布有关加密货币市场的推文，并专注于商品和股票等传统市场。Peter表示，他周围的社区声称传统市场更加“成熟”。[2021/11/16 21:55:32]

2.首先函数会为合约转账requiredToken参数所指定的代币，由于该函数传入的参数是外部可控的，所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。

声音 | Coinmetrics联合创始人：Libra促使政府认真对待加密货币行业:Coinmetrics.io联合创始人Nic Carter在接受采访时表示，Facebook在Libra项目上存在巨大的误判，其提议存在一定的缺陷。“Libra认为它会有这样的储备，我们会用所有这些外国货币和一点点美元来填补它。显然，这会冒犯美国国会。因为美元占所有国际贸易的70%。”他还强调，在Libra宣布之前，政府并没有认真对待数字货币或非主权资产。根据他的说法，当权者低估了比特币等资产的影响力，因为他们没有意识到，非公司项目也可以支撑某种可行资本形式的可信度。最近关于创建美国数字美元的猜测也很激烈，但Nic认为，这样的提议可能不会很快出现。数字资产的便利化会阻碍商业银行部门，这不会让受到美国政府的欢迎。谈到比特币，从整个人类社会的进步感来看，他强调比特币是近年来最关键的创新之一。然而，他认为，区块链的概念并没有得到保证担保。“你需要将计算性、真实的成本附加到将信息包括在分类账上的工作上，以确保信息是好的。”（AMBCrypto）[2019/12/12]

3.接着会调用内部函数zap，在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值，由于第二步的操作所以通过了该检查。

声音 | 大卫·马库斯：Libra实际上可以对资金流动实施更严格的控制:金色财经直播报道，在Libra听证会上，大卫·马库斯表示：如果人们可以更安全、更容易地通过智能手机接收汇款，这就是Libra的用例。如果美国不引领数字货币的创新，其他国家将会这么做。此外，大卫·马库斯暗示,与传统的现金系统相比，Libra实际上可以对资金流动实施更严格的控制，这或许是正确的，但立法者似乎不会相信。[2019/7/16]

4.之后会外部调用假代币合约的approve函数，该函数为攻击者恶意构造，是为了给Zapper合约转账frax代币，此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。

5.最后外部调用了swapTarget参数所指定的合约，并且调用所传入参数也是外部可构造的，所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。

6.攻击者重复以上步骤，总共攻击了三次，转移了三个受害者账户下的USDC代币约889,343枚。

此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查，导致了任意外部调用的问题，攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

标签：LIBLIBRAZAPAPPLibre DeFilibra币在哪个交易所ZAPP价格抹茶交易所app下载安卓ios

火币下载热门资讯