以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

簡析meerkat跑路事件 如何躲避DeFi野礦?_FOR:PRO

Author:

Time:1900/1/1 0:00:00

安全生產簡析下meerkat跑路事件

一、核心問題

1.AdminUpgradeabilityProxy天然的負面影響一代理的邏輯合約可以被替換

2.AdminUpgradeabilityProxy權限沒有移交timelock一項目方不受時間鎖約束,可以隨意使用1。所說的能力,替換邏輯合約最終項目方無限制地將正常合約替換成了攻擊合約,卷款跑路。

安全團隊:Rubic被攻擊事件簡析:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Rubic項目被攻擊,Beosin安全團隊分析發現RubicProxy合約的routerCallNative函數由于缺乏參數校驗,_params可以指定任意的參數,攻擊者可以使用特定的integrator來讓RubicProxy合約可以幾乎零成本的調用自己傳入的函數data。攻擊者通過調用routerCallNative函數,把所有授權給RubicProxy合約的USDC全部通過transferFrom轉入了0x001B地址,被盜資金近1100個以太坊,通過Beosin Trace追蹤發現被盜資金已經全部轉入了Tornado cash。[2022/12/25 22:06:32]

二、現場還原(以BUSD池為例)?

Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]

1.項目方故意“坦誠”給出合約的timelock轉移權限記錄,展示的確執行了changeAdmin方法移交權限給timelock地址,用于混淆視聽

Force DAO 代幣增發漏洞簡析:據慢霧區消息,DeFi 量化對沖基金 Force DAO 項目的 FORCE 代幣被大量增發。經慢霧安全團隊分析發現: 在用戶進行 deposit 操縱時,Force DAO 會為用戶鑄造 xFORCE 代幣,并通過 FORCE 代幣合約的 transferFrom 函數將 FORCE 代幣轉入 ForceProfitSharing 合約中。但 FORCE 代幣合約的 transferFrom 函數使用了 if-else 邏輯來檢查用戶的授權額度,當用戶的授權額度不足時 transferFrom 函數返回 false,而 ForceProfitSharing 合約并未對其返回值進行檢查。導致了 deposit 的邏輯正常執行,xFORCE 代幣被順利鑄造給用戶,但由于 transferFrom 函數執行失敗 FORCE 代幣并未被真正充值進 ForceProfitSharing 合約中。最終造成 FORCE 代幣被非預期的大量鑄造的問題。 此漏洞發生的主要原因在于 FORCE 代幣的 transferFrom 函數使用了`假充值`寫法,但外部合約在對其進行調用時并未嚴格的判斷其返回值,最終導致這一慘劇的發生。慢霧安全團隊建議在對接此類寫法的代幣時使用 require 對其返回值進行檢查,以避免此問題的發生。[2021/4/4 19:45:30]

2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61Cproxy合約,changeAdmin方法內部調用追蹤到304行,實際寫入key為ADMIN_SLOT,但讀取key卻為ADMIN_SLOT。即O(歐)和0(零)的一個細微差異,讓changeAdmin方法完全失效,從而達到了已經移交權限的假象

三、結論和經驗

1.高度警惕任何包含proxy方式合約的項目,若未經timelock約束,合約有被瞬間替換的風險

2.nevertrust,alwaysverify!不要相信項目方給出的timelock“證據”,對于未經審計的fork項目,務必逐個contract做好與原項目的diff(如果你做到了,就可以躲過meerkat的障眼法)

Tags:FORORCFORCEPROFORKORCL5價格EfforceProxeus

幣安app官網下載
趨勢論幣:5.2萬依然是關鍵位 但不是比特幣上漲的終點_區塊鏈:ETC

大家上午好!我是你們的老朋友趨勢論幣,跟隨趨勢,把握節奏,讓利潤奔跑起來!1.9萬億經濟計劃已經取的關鍵性的進展,當地時間3月6日,美國國會參議院表決以50票贊成、49票反對的結果通過該項計劃.

1900/1/1 0:00:00
席幕楓:3.7以太坊扶搖而上,分水嶺1700承壓慎追多_FAI:DFAI幣

多言不可與謀,多動不可與久處,交易與其沖動,還不如一動不動!大家好,我是席幕楓。心存陽光必有詩與遠方,認識老席何懼再遇荒涼?席幕楓:3.7以太坊行情分析以太坊,日線二次吸籌大陽結尾,山車反彈動能.

1900/1/1 0:00:00
曉風:交易虧錢?90%的投資者沒有處理好這三個環節!_元宇宙:LMR

投資不是投機,風險不是冒險,你對自己負責了嗎?對自己的資金負責了嗎?不論在任何市場作為投資者,要學會對自己的資金負責.

1900/1/1 0:00:00
齊衡預言:比特幣的頭肩底八字已有一撇!有望繼續往上沖擊_cardano:cardano幣除比特幣以太幣

齊衡預言:比特幣的頭肩底八字已有一撇!有望繼續往上沖擊,測試52000的壓力位比特幣探底回升,在4H級別構成潛在的頭肩底結構,有希望繼續往上沖擊,測試52000美金的壓力位.

1900/1/1 0:00:00
本月21個熱門IDO項目,誰將成為下一個百倍幣?_STA:STAMP價格

作者|秦曉峰 編輯|郝方舟 出品|Odaily星球日報近段時間,IDO成為加密市場高頻熱詞。無論是早期IDO項目,還是近期新銳MASK,都帶來顯著的財富效應,也令投資者對這一新的募資方式熱情頗高.

1900/1/1 0:00:00
關于杠桿ETF交易維護升級的公告_INE:DigiFinex

親愛的用戶: 為了提供更好的杠桿ETF交易體驗,DigiFinex于2021年3月9日15:00(GMT8)對BTC3L/USDT和BTC3S/USDT交易對進行維護升級,預計維護時長2小時.

1900/1/1 0:00:00
ads