ORG:恶意初始化：Punk Protocol被黑事件分析

8月10日，去中心化年金协议?PunkProtocol遭到攻击，损失890万美元，后来团队又找回了495万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，攻击原因在于投资策略中找到了一个关键漏洞：CompoundModel代码中缺少初始化函数的修饰符的问题，可以被重复初始化。希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

黑客1的两笔攻击交易：

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

安全团队：包含远程访问木马“Parallax RAT”的恶意软件正以加密公司为目标:3月1日消息，安全分析平台Uptycs在一份新报告中表示，加密货币公司正成为一项新型恶意软件的目标，该软件中包含了一种名为Parallax RAT的远程访问木马。据悉，此软件使用注入技术隐藏在合法进程中，很难被发现。一旦成功注入，攻击者就可以通过Windows记事本与受害者进行互动，这可能是一个通信渠道。Parallax RAT允许攻击者远程访问受感染设备，具有上传和下载文件以及记录击键和屏幕截图等功能。除了收集系统元数据，Parallax RAT还能够访问存储在剪贴板的数据，甚至远程重启或关闭受感染设备。[2023/3/1 12:36:18]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

报告：以加密货币为目标的恶意软件对受害者构成多种威胁:金色财经报道，斯洛伐克网络安全公司ESET的研究人员在周三的一份报告中称，他们在媒体文件的安装程序中发现了加密货币挖掘机器人的恶意代码。下载完成后，隐藏的应用程序将启动挖掘机器人，以劫持计算机功能并挖掘门罗币（XMR），还会在检测到GPU卡时捕获ETH。被称为“KryptoCibule”的恶意软件还可以将剪贴板中的钱包地址更改为与黑客关联的钱包地址。此外，还将搜索并窃取存储在主机硬盘驱动器上的加密货币密码、私钥或密钥短语。据悉，该恶意软件通过用户在点对点文件共享网络上共享受影响的媒体文件传播。[2020/9/3]

黑客2的两笔攻击交易

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

僵尸网络Satori恶意扫描ETC挖矿设备:据bleepingcomputer消息，有三家信息社区的知情人称最近发现Satori僵尸网络的运营商正在大面积扫描网上已暴露的ETC挖矿设备。据悉，不法分子是通过端口3333对设备进行扫描的，这种端口通常被大量的数字货币挖掘设备用于远程管理功能。[2018/5/18]

黑客2的攻击合约地址：

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址：

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

黑客2退回的两笔交易地址：

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

日本Canon-its：三月恶意挖矿程序CoinMiner数量减少:据Prtimes报道，日本网络信息安全公司Canon-its今日（4月26日）发布了2018年3月恶意软件检查报告。报告显示，恶意挖矿程序CoinMiner的数量相较一、二月出现了下降趋势，Canon-its认为这与三月虚拟货币市场的持续低迷有一定关系。[2018/4/26]

韩国交易所Komid的虚拟账户由于被电信恶意使用导致账户被冻结:韩国虚拟货币交易所Komid的代表性虚拟账户被举报为与电信相关连的电子金融账户，导致了账户被冻结。[2018/1/29]

下面以黑客1正式攻击交易为例

黑客的攻击执行了delegateCall，将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。

然后，它执行withdrawToForge函数并将所有资金发送到攻击者的合约。

随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。

链接到forge_的所有CompoundModel都使用相同的代码，因此所有资产都转移到攻击者的合约中。目前，导致黑客入侵的代码已被项目方修补。添加了两个Modifiers，这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。

二、安全建议

本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制，可以被重复初始化。初始化函数应只能调用一次，而且需要进行调用者权限鉴别；如果合约是使用初始化函数，而不是在构造函数中进行初始化，则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵，造成合约关键参数和逻辑的错误。

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：ORGFORFORGECOMPInvest Like Stakeborg IndexFORE ProtocolDeFi Forgecomp币叫什么

以太坊热门资讯