木星链 木星链
Ctrl+D收藏木星链
首页 > FIL币 > 正文

SWAP:雪上加霜 处于“自救期”的SushiSwap是如何被黑客攻击的?

作者:

时间:1900/1/1 0:00:00

原文:《正处于“刮骨疗”自救的SushiSwap,今日又是如何被黑客攻击的?》

在严峻的财务压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?

2023年4月9日,据BeosinEagleEye态势感知平台消息,SushiswapRouteProcessor2合约遭受攻击,部分对合约授权过的用户资金被黑客转移,涉及金额约1800ETH,约334万美元。

据了解,SushiSwap流动性挖矿项目,克隆自Uniswap,最大的不同是其发行了SUSHI代币,团队希望用SUSHI通证经济模型,优化Uniswap。但Uniswap创始人HaydenAdams表示,Sushi只是任何有能力的开发人员通过一天的努力创造出来的东西,试图利用炒作和Uniswap创造的价值来获利。

其实在本次攻击之前,这个项目还有另外的“坎坷”,去年12月6日,上任仅两个月的Sushi新任“主厨”JaredGrey于治理论坛发起了一项新提案。在该提案中,Jared首次向外界披露了Sushi当前严峻的财务状况,并提出了一个暂时性的自救方案。

Cardano公布The Voltaire Era研讨会选定的申请人名单:金色财经报道,Input Output Global、EMURGO和Cardano基金会公布了选定的申请人名单,以领导旨在讨论CIP-1694的研讨会。本提案旨在为Cardano的The Voltaire Era时代建立链上去中心化治理机制。遴选过程竞争激烈,收到了来自全球不同地区(包括北美、拉美和非洲)的超过75份申请。

The Voltaire Era时代旨在使用投票系统和国库创建一个去中心化的民主网络。参与者可以使用他们的股份和投票权来影响网络的发展,提高透明度和包容性以实现长期生存能力。研讨会将于5月至7月举行,他们的主要重点将是探索CIP-1694中提出的链上治理的最新发展。面对面的研讨会将在全球20多个地点举行,为与会者提供独特的机会,与当地的Cardano社区建立联系、交流思想和合作。还将有超过25个虚拟研讨会,使无法亲自参加的人也可以参加。[2023/5/14 15:01:46]

正是在这样的压力下,黑客又来一击,那在黑客的打击下,SushiSwap能否走出自救的道路?

加密行业成员称白宫正破坏创新:金色财经报道,白宫经济顾问委员会本周发布了年度报告,报告称,加密行业正寻求在政府范围之外生存,这注定会失败。 许多加密行业成员发现该报告令人不安,特别是考虑到它是在监管极度不确定的时期发布的。 其他人指出,该报告对加密货币的态度只会将公司推向海外,将创新从美国带走,并可能让投资者接触到有风险的商业行为。[2023/3/26 13:26:38]

事件相关信息

我们以其中一笔攻击交易进行事件分析。

攻击交易

0xea3480f1f1d1f0b32283f8f282ce16403fe22ede35c0b71a732193e56c5c45e8

攻击者地址

0x719cdb61e217de6754ee8fc958f2866d61d565cf

攻击合约

0x000000C0524F353223D94fb76efab586a2Ff8664

被攻击合约

0x044b75f554b886a065b9567891e45c79542d7357

万事达卡NFT产品负责人Satvik Sethi于周四辞职:金色财经报道,Mastercard 前NFT 产品负责人 Satvik Sethi 于周四辞去职务。Sethi在推文中解释了他离开的决定,称这是一个艰难而漫长的过程。他长期以来一直感到被公司忽视,并希望专注于 Web3 和全职创作艺术。

Sethi决定通过数字收藏品协议Manifold将他的辞职信铸成开放版 NFT ,并表示收益100% “用于生存”。这个名为“New Beginnings ”的项目每个定价为 0.023 ETH(约合 38 美元)。在撰写本文时,已经铸造了 12 个 NFT。Sethi 现在将专注于构建自己的 Web3 社交网络和社区建设站点joincircle。此外,他在辞职信中写道,他计划在未来发布不同形式的艺术作品。[2023/2/3 11:44:30]

被攻击用户

0x31d3243CfB54B34Fc9C73e1CB1137124bD6B13E1

攻击流程

1.攻击者地址(0x1876…CDd1)约31天前部署了攻击合约。

Pantera Capital CEO:链游和NFT刚刚达到足够多人使用的临界质量:8月11日消息,Pantera Capital首席执行官Dan Morehead在接受RealVision采访时表示,加密世界是周期性的,总会有新的机会可以抓住,例如DeFi和NFT。

Dan Morehead称:“我认为DeFi现在非常便宜,但下一个前沿领域时游戏和NFT,这两个领域刚刚达到足够多人使用的临界质量(critical mass),区块链游戏也是相关的。在Pantera Capital的风险投资组合中,涉及很多领域,我们也一直是Layer 2扩展解决方案的大型投资者,比特币和以太坊很棒,但它们目前只能进行非常有限的交易,所以我们需要Layer 2。”(The Daily Hodl)[2022/8/11 12:17:44]

Aptos生态钱包Martian Wallet更新版本:金色财经消息,Aptos生态主流钱包Martian Wallet已与Aptos名称服务集成,允许用户使用Aptos名称发送交易,目前该钱包还在测试阶段,用户人数超过15000人。[2022/7/26 2:37:46]

2.攻击者发起攻击交易,首先攻击者调用了processRoute函数,进行兑换,该函数可以由调用者指定使用哪种路由,这里攻击者选择的是processMyERC20。

3.之后正常执行到swap函数逻辑中,执行的功能是swapUniV3。

4.在这里可以看到,pool的值是由stream解析而来,而stream参数是用户所能控制的,这是漏洞的关键原因,这里lastCalledPool的值当然也是被一并操控的,接着就进入到攻击者指定的恶意pool地址的swap函数中去进行相关处理了。

5.Swap完成之后,由于此时lastCalledPool的值已经被攻击者设置成为了恶意pool的地址,所以恶意合约调用uniswapV3SwapCallback函数时校验能够通过,并且该函数验证之后就重置了lastCalledPool的值为0x1,导致swapUniV3函数中最后的判断也是可有可无的,最后可以成功转走指定的from地址的资金,这里为100个WETH。

漏洞分析

本次事件攻击者主要利用了合约访问控制不足的问题,未对重要参数和调用者进行有效的限制,导致攻击者可传入恶意的地址参数绕过限制,产生意外的危害。

总结

针对本次事件,Beosin安全团队建议:

1.在合约开发时,调用外部合约时应视业务情况限制用户控制的参数,避免由用户传入恶意地址参数造成风险。

2.用户在与合约交互时应注意最小化授权,即仅授权单笔交易中实际需要的数量,避免合约出现安全问题导致账户内资金损失。

标签:SWAPUSHIUSHSHIIX SwapSushiBytesMUSH币SHIH-TZU价格

FIL币热门资讯
比特币:金色晨讯 | 4月11日隔夜重要动态一览

21:00-7:00关键词:抖音App、5月加息、比特币挖矿权、Gemini1.报告:如果SBF没被指控从事欺诈活动.

1900/1/1 0:00:00
区块链:金色午报 | 4月4日午间重要动态一览

7:00-12:00关键词:LSD协议、DOGE、Arbitrum、DoKwon1.DOGE第5大持仓地址在价格大涨后转出6.5亿枚DOGE;2.美国司法部查封加密货币投资局资金超1.

1900/1/1 0:00:00
BIT:BitKeep 创始人 Kevin 离职公开信 回顾从 EOS 到 UNI 再到 ARB 的这五年

前天新闻发布时,我正在下班的路上。虽然与Bitget的交割已有一段时间,但正式向媒体公开的2023年3月22日,便成了我正式离开BitKeep的日子.

1900/1/1 0:00:00
ARB:未经治理流程出售代币?解析Arbitrum基金会争议操作始末

今日,一则关于?Arbitrum?这一明星项目的新闻引发了社区争议,且仍在持续发酵之中。根据周日早些时候一名员工的博客文章,Arbitrum基金会在其代币持有者治理社区“批准”该组织近?10?亿.

1900/1/1 0:00:00
ETH:以太坊 Shapella 时刻:流动性衍生品质押赛道或爆发

来源:DroomDroom编译:比推BitpushNewsMaryLiu以太坊将在4月12日迎来“Shapella升级”,之前锁定的验证者代币被解锁,将大大增加以太坊的流动性,最近几个月.

1900/1/1 0:00:00
WEB:速览a16z Crypto 2023年加密货币现状报告七大要点

来源:a16z?译:金色财经新兴技术会经历周期性的演变,加密货币领域也不例外,其中包括高活跃期和所谓的加密冬季.

1900/1/1 0:00:00