木星链 木星链
Ctrl+D收藏木星链

EOS:简析meerkat跑路事件 如何躲避DeFi野矿?

作者:

时间:1900/1/1 0:00:00

安全生产简析下meerkat跑路事件

一、核心问题

1.AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换

2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束,可以随意使用1。所说的能力,替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约,卷款跑路。

安全团队:Rubic被攻击事件简析:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Rubic项目被攻击,Beosin安全团队分析发现RubicProxy合约的routerCallNative函数由于缺乏参数校验,_params可以指定任意的参数,攻击者可以使用特定的integrator来让RubicProxy合约可以几乎零成本的调用自己传入的函数data。攻击者通过调用routerCallNative函数,把所有授权给RubicProxy合约的USDC全部通过transferFrom转入了0x001B地址,被盗资金近1100个以太坊,通过Beosin Trace追踪发现被盗资金已经全部转入了Tornado cash。[2022/12/25 22:06:32]

二、现场还原(以BUSD池为例)?

Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]

1.项目方故意“坦诚”给出合约的timelock转移权限记录,展示的确执行了changeAdmin方法移交权限给timelock地址,用于混淆视听

Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61Cproxy合约,changeAdmin方法内部调用追踪到304行,实际写入key为ADMIN_SLOT,但读取key却为ADMIN_SLOT。即O(欧)和0(零)的一个细微差异,让changeAdmin方法完全失效,从而达到了已经移交权限的假象

三、结论和经验

1.高度警惕任何包含proxy方式合约的项目,若未经timelock约束,合约有被瞬间替换的风险

2.nevertrust,alwaysverify!不要相信项目方给出的timelock“证据”,对于未经审计的fork项目,务必逐个contract做好与原项目的diff(如果你做到了,就可以躲过meerkat的障眼法)

标签:EOSSINUSDROXEOSTSingularityDAOGUSDrox币价格

比特币价格热门资讯
虚拟资产:火币科技子公司获批发行虚拟货币基金,比特币进入主流资产配置?

3月4日,据中国证券报消息,火币资管将会发行三只虚拟货币基金,分别为比特币追踪基金,以太坊追踪基金和多策略虚拟货币基金.

1900/1/1 0:00:00
数字货币:央行数研所探索央行数字货币跨境支付应用

记者从央行网站获悉,香港金融管理局、泰国中央银行、阿拉伯联合酋长国中央银行及中国人民银行数字货币研究所宣布联合发起多边央行数字货币桥研究项目,旨在探索央行数字货币在跨境支付中的应用.

1900/1/1 0:00:00
NFT:NFT20、NFTfi、Flow……NFT基础设施成熟时

最近,NFT很火,为了追热点,于是写了这篇文章。针对NFT热潮,莱特币创始人李启威发推表示:2021年的NFT和2017年的1CO、2013年的山寨币之间有很多相似之处.

1900/1/1 0:00:00
比特币:比特币价格重回5万美元大关 对监管态度不同解读令币价先抑后扬

来源:财联社财联社讯,隔夜,比特币又有惊无险地经历了一轮“监管大考”——美国证券交易委员会主席提名人加里?詹斯勒(GaryGensler)在参议院确认听证会上,发表了对比特币的一系列看法.

1900/1/1 0:00:00
比特币:价格指标表明,以太坊未来将继续看涨

2月20日,以太坊价格上涨至2,015美元的新高,当前看涨情绪的主要驱动因素之一是CME以太坊期货的推出.

1900/1/1 0:00:00
GAS:Layer2 系统的安全性和效率取舍

感谢?MatterLabs?提出关于部分L1数据链上可用性的问题,我们一直以来都非常重视社区的声音,并会根据社区的需求修改方案.

1900/1/1 0:00:00