NER:权限问题:Crosswise被黑事件分析

此次攻击导致协议损失87.9万美元

近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

事件分析

攻击过程如下:

黄立成已将150万枚USDT转给Curve创始人并获得375万枚CRV:金色财经报道,据PeckShieldAlert监测,“麻吉大哥”黄立成已将150万枚USDT转给Curve创始人Michael Egorov并从Michael Egorov收到375万枚CRV。[2023/8/1 16:11:55]

修改owner

首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。

美国SEC:马斯克已完成对Twitter的收购:金色财经报道,美国证券交易委员会(SEC)的文件证实,特斯拉CEO Elon Musk 已完成对 Twitter 的收购。Twitter和X Holdings的合并于2022年10月 27日生效,X Holdings是Elon Musk全资拥有的X Holdings I的全资子公司。Twitter的每一普通股兑换为54.20美元现金,没有利息,也没有任何代扣代缴税款。[2022/10/29 11:54:14]

Deribit:9月9日将有1500张BTC看跌期权到期,市场看空情绪或持续浓厚:金色财经报道,加密衍生品交易平台 Deribit 近期发文表示,非农就业数据没有带来冲击,但全球风险市场仍打压着乐观情绪。与以太坊合并相关的 ETH 期权头寸仍然开放,但几乎没有迹象表明有大量增持。

比特币看跌期权偏度(虚值看跌期权的隐含波动率减去平值看跌期权的隐含波动率的差值比率,即买方为防止价格下跌而支付的溢价)稳步上升,9 月看跌期权、12 月看跌期权和 12 月看涨期权价差的买家抬高了看跌期权偏度,或表明市场看空的情绪持续浓厚。

9 月 9 日将有 1500 张 BTC 看跌期权到期,近期同样新增约 1500 张 12 月份看跌期权。此外,ETH 12 月看跌期权(执行价 800)的买入量和短期看涨期权的卖出量在逐渐上升。[2022/9/6 13:10:47]

由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。

美联储威廉姆斯:利率需要升到多高取决于经济数据:8月30日消息,美联储威廉姆斯表示:利率需要升到多高取决于经济数据;我的基准是,我们需要略高于3.5%的利率。(金十)[2022/8/31 12:58:41]

安全团队:NFT项目Not Bored Apes Discord遭攻击并发布网络钓鱼链接:金色财经消息,据CertiK监测,NFT项目Not Bored Apes的Discord遭受攻击,一个mod账户似乎被黑,开始频繁发布网络钓鱼链接。请对官方未公布的Mint保持警惕。[2022/6/4 4:02:07]

通过MasterChef合约中的withdraw函数提取了692184.64CRSS.

将CRSS兑换为BNB.

通过Tornado实现混币,将盗取的BNB转移到其他账户地址

总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。

安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-1:5ms