Brahma TopGear (brahTOPG) 項目存在外部調用風險，請迅速取消授權_LIBRA:LIB

據慢霧安全團隊監測，ETH鏈上的brahTOPG項目遭到攻擊，攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先查詢了受害用戶0x392472的余額，接著調用了Zapper合約的zapIn函數。

Lido：與Lybra Finance無關，在與新協議交互時請做好盡調:6月1日消息，Lido官方發推澄清稱，Lido與Lybra Finance無關，不論他們的品牌如何暗示。不斷發展的LSD DeFi環境令人興奮，但在與新協議互動時，請保持謹慎并做好盡職調查。[2023/6/2 11:53:18]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣，由于該函數傳入的參數是外部可控的，所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

聲音 | 社科院國際金融研究室主任：Libra的初衷肯定不是為了維護和增強美元霸權:據中國新聞周刊報道，社科院國際金融研究室主任劉東民向《中國新聞周刊》分析表示，Libra對現行國際貨幣體系影響比較大，無論是發達國家還是欠發達國家都會對其有嚴格的監管和要求。未來幾年，Facebook需要跟各國政府和國際金融機構進行深入溝通和妥協，可能會改變策略。因此，Libra的落地不會太快，也不會太順利。由于目前Libra錨定的一籃子貨幣比例還不清楚，尚不能判斷是否會對美元全球霸權產生影響，不過Libra的初衷肯定不是為了維護和增強美元霸權。中國在研究數字貨幣上有著充足的時間窗口。Libra要想落地并不簡單，需要相當長時間與各國政府和國際金融機構進行斡旋。因此，中國有著充足時間去研發自己的數字穩定幣。此前，央行在數字貨幣做了很多工作，大量民營企業在區塊鏈、第三方支付技術、數字貨幣研發上有著重組技術積累和實際應用。因此，中國只需要適當的政策調整，在數字穩定幣研發上應該很快能夠走到世界前列。[2019/7/19]

3.接著會調用內部函數zap，在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值，由于第二步的操作所以通過了該檢查。

聲音 | Thomas Lee：Libra或將用于加密貨幣資產投機 相當于金融資產投機中的美元:Fundstrat聯合創始人Thomas Lee 6月19日發布推文稱，從貨幣實際用途出發考慮Libra對加密貨幣的益處，美元更常用于投機，而非商品交易媒介，兩種用途的比率為96:1，用于購買商品的1美元，在外匯交易和金融資產交易中要被交易96次。依此考慮，Libra或將用于其他加密貨幣資產的投機，如最初Libra可能用于購買BTC。

同時考慮1000億美元的法幣對加密貨幣價格的影響，BTC減半之后，每日供應量為18億美元；則Libra的流通量可能大于500億美元（以單價25美元計算）。那就可以說，Libra的使用類似于法幣，同一單位的Libra將在金融資產投機中被交易96次，1000億Libra流通量用于投機則將達9.6兆美元。而當前加密貨幣市場總量小于2000億。[2019/6/19]

4.之后會外部調用假代幣合約的approve函數，該函數為攻擊者惡意構造，是為了給Zapper合約轉賬frax代幣，此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約，并且調用所傳入參數也是外部可構造的，所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟，總共攻擊了三次，轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題，攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags：LIBRALIBZAPAPPLIBRAFlibra幣在哪個交易所Zapper價格lbank交易所app下載

幣安幣