以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

Furucombo 究竟為何會遭受攻擊?慢霧拆解攻擊細節_COMBO:COMB

Author:

Time:1900/1/1 0:00:00

Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。與Furucombo交互過的用戶應及時撤銷相關授權,避免進一步損失。

據鏈聞消息,著名DeFi項目Furucombo被黑,損失約1500萬美元。慢霧安全團隊第一時間介入分析,并將攻擊細節分享給大家。

攻擊細節分析

本次發生問題的合約在Furucombo本身的代理合約當中。整個攻擊流程很簡單。攻擊者通過設置了Furucombo的AaveV2Proxy的邏輯地址導致后續通過Furucombo代理合約調用的邏輯全部轉發到攻擊者自己的惡意合約上,導致任意資金被盜。

比特幣礦企Bitfury首席執行官確認公司正在考慮進行IPO:10月19日消息,Bitfury首席執行官Valery Vavilov證實,“隨著Bitfury及其公司組合繼續在數字資產領域的全球擴張,Bitfury將考慮IPO,作為其更廣泛的擴張和增長計劃的一部分。”Bitfury尚未確定該公司愿意在何時、在哪個交易所進行IPO。

Bitfury曾在2018年以10億美元的估值融資8000萬美元。Bitfury的投資者包括歐洲風險投資基金Korelya Capital、韓國互聯網巨頭Naver Group、亞洲機構Macquarie Capital和日本電通(Dentsu Japan),以及Michael Novogratz的加密投資公司Galaxy Digital。

此前報道,比特幣礦企BitFury計劃在未來12個月內上市,目前已委托德勤對其進行審計。該公司上一輪融資中估值達10億美元,而此次上市的估值或達到數十億英鎊。BitFury的上市將會成為歐洲至今為止最大規模的加密貨幣公司IPO。(Cointelegraph)[2021/10/19 20:39:34]

比特幣礦業硬件制造商Bitfury以1200萬美元投資Axelera AI:9月15日消息,荷蘭人工智能半導體初創公司Axelera AI宣布完成1200萬美元的種子輪融資,比特幣礦業硬件制造商Bitfury領投,Innovation Industries Fund參投。該公司表示:將支持邊緣人工智能應用程序的開發,邊緣人工智能市場還處于起步階段,目前的市場領導者是英偉達,最近,Hailo、Mythic和Blaize等新創業公司紛紛推出新產品。(venturebeat)[2021/9/15 23:27:32]

但是如果事情那么簡單,那么本次分析不值一提。問題遠比想象的復雜得多。

如上圖所示攻擊者的入口在Furucombo的batchExec函數,我們先對batchExec函數進行分析:

研究分析師:Furucombo被盜金額達1400萬美元以上:針對DeFi聚合平臺Furucombo代理被攻擊者入侵一事,The Block研究分析師Igor Igamberdiev發布推文分析稱,攻擊者使用虛假合約使Furuсombo認為Aave v2有新的執行。因此,與“ Aave v2”的所有交互都允許將批準的代幣轉移到任意地址。被盜金額達1400萬美元以上。[2021/2/28 17:59:32]

以上是FurucomboProxy合約的batchExec函數的具體實現,其中_preProcess和_postProcess合約分別是對調用前后做一些數據上的處理,不涉及具體的調用邏輯,這邊可以先忽略。我們主要觀察核心的_execs函數:

API服務供應商Infura已在主網上線“Infura Transactions(ITX)”功能:官方消息,Ethereum和IPFS的API服務供應商Infura表示,其已在主網上線“Infura Transactions(ITX)”功能。Infura Transactions(ITX)是發送以太坊事務的最簡單方法,它減輕了Gas費用和事務管理方面的許多復雜性。鏈上流程可讓用戶使用ETH支付ITX費用,而無需信用卡。[2021/2/10 19:26:53]

通過對execs代碼的分析不難發現,函數的主要邏輯是對configs數組的數據做檢查,并根據configs數組的數據對data進行一些處理。但是回顧上文中攻擊者的調用數據,不難發現攻擊者的調用數據中,configs的數據是一個0地址:

Bitfury推出可構建鎖定到公有鏈的私有鏈工具包:據bitcoinmagazine消息,區塊鏈技術公司Bitfury宣布將為其區塊鏈服務Exonum引入Java綁定。這款即將推出的軟件開發工具包,將允許開發人員在Exonum上構建可鎖定到公共區塊鏈的私有鏈。[2018/6/20]

這里有一個trick,由于0地址是一個EOA地址,所有對EOA地址的函數調用都會成功,但是不會返回任何結果。結合這個trick,execs函數中的關于configs數據的部分可以先暫時忽略。直接看到最后的核心_exec函數:

_exec函數的邏輯也很簡單,在校驗了_to地址后,直接就將data轉發到指定的_to地址上了。而通過對攻擊交易的分析,我們能發現這個_to地址確實是官方指定的合法地址。

最后一步,便是調用_to地址,也就是官方指定的AaveV2Proxy合約的initialize函數,將攻擊者自己的惡意地址設置成AaveV2Proxy合約的邏輯地址。通過對Furucombo合約的分析,可以發現整個調用流程上沒有出現嚴重的安全點,對調用的地址也進行了白名單的檢查。那么問題只能是出在了對應要調用的代理邏輯上,也就是AaveV2Proxy合約。

我們直接分析AaveV2Proxy合約的initialize函數的邏輯:

可以看到initialize函數是一個public函數,并在開頭就檢查了_implementation是否是0地址,如果是0地址,則拋出錯誤。這個檢查的目的其實就是檢查了_implementation是否被設置了,如果被設置了,就無法再次設置。根據這個設置,不難想出initialize這個函數只能調用一次。除非AaveV2Proxy從來沒有設置過_implementation,否則這個調用是不會成功的。難道Furucombo真的沒有設置過對應的_implementation嗎?帶著這樣的疑問,我們檢查了交易內的狀態變化。如下:

可以看到,交易中改變了存儲位置為0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc的內容,而寫入的內容正是攻擊者自己的惡意合約地址0x86765dde9304bea32f65330d266155c4fa0c4f04。

而0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc這個位置,正是_implementation數據的存儲地址。

也就是說,官方從來沒有設置過AaveV2Proxy合約的_implementation地址,導致攻擊者鉆了這個空子,造成了Furucombo資產損失。

總結

通過對整個事件的分析來看,Furucombo此次事故并不在安全漏洞的范疇內,主要的原因在于官方將未啟用的AaveV2Proxy合約添加進了自己的白名單中,并且未對AaveV2Proxy合約進行初始化,導致攻擊者有機可乘。

建議

目前,由于Furucombo遭受攻擊,導致任何將代幣授權過給Furucombo合約(0x17e8ca1b4798b97602895f63206afcd1fc90ca5f)的用戶都將面臨資金損失的風險。

慢霧安全團隊建議與Furucombo交互過的用戶檢查是否有將相關代幣授權給Furucombo合約。如有授權,應及時撤銷相關授權,避免進一步損失。

Tags:FURCOMBOCOMBUCOFURY幣combo幣行情combo幣發行總量kucoinpro是什么交易所

酷幣交易所
DeFi新玩法 | 三分鐘了解Compound跨鏈利率市場Gateway_OMP:Compound Meta

注:原文作者是Compound創始人RobertLeshner。三個月前,我們的團隊發布了Compound鏈的白皮書,這是一種能夠在不同賬本之間傳輸價值和流動性的分布式賬本.

1900/1/1 0:00:00
科普 | NFT是如何存儲的?你購買的NFT會不會在某一天突然消失?_區塊鏈:哪個是區塊鏈最核心的內容

原文標題:《It’sanNFTBoom.DoYouKnowWhereYourDigitalArtLives?》原文作者:BradyDale 觀點: -NFT是一種證明數字藝術和收藏品所有權的方式.

1900/1/1 0:00:00
Tether在紐約被禁后若引發寒蟬效應 交易所如何應對?_THE:男生用ethereal當網名什么寓意

無論是傳統金融,還是數字金融,在沒有監管和監督前提下,不可能寄希望于這些發行方行善不作惡。另一方面,監管也應該加大力度確保穩定幣發行方透明度,保證穩定幣抵押物真實存在.

1900/1/1 0:00:00
EOS創始人BM提出新社交項目Clarion 正組建開發團隊_RIO:xDollar

3月2日,EOS創始人、原Block.oneCTOBM再次發聲,于Github上發布了一個新項目Clarion的介紹.

1900/1/1 0:00:00
公共平行鏈:通過治理分配平行鏈插槽的介紹_ADO:DOT

Polkadot網絡有許多開發平行鏈的團隊,每個團隊都針對自己的領域進行了優化。這些平行鏈專門用于智能合約、身份識別、DeFi、機器人、橋等等.

1900/1/1 0:00:00
回到2012 即將上市的Coinbase如何吸引最早的投資人?_OIN:COI

2018年就已經估值80億美元的獨角獸Coinbase,其實很早就在加密貨幣領域全面布局了。旗下的業務不僅有加密資產交易所Coinbase和CoinbasePro,還有風投CoinbaseVen.

1900/1/1 0:00:00
ads