BIT:Brahma TopGear (brahTOPG) 项目存在外部调用风险,请迅速取消授权

据慢雾安全团队监测,ETH链上的brahTOPG项目遭到攻击,攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下:

1.攻击者首先查询了受害用户0x392472的余额,接着调用了Zapper合约的zapIn函数。

声音 | 社科院国际金融研究室主任:Libra的初衷肯定不是为了维护和增强美元霸权:据中国新闻周刊报道,社科院国际金融研究室主任刘东民向《中国新闻周刊》分析表示,Libra对现行国际货币体系影响比较大,无论是发达国家还是欠发达国家都会对其有严格的监管和要求。未来几年,Facebook需要跟各国政府和国际金融机构进行深入沟通和妥协,可能会改变策略。因此,Libra的落地不会太快,也不会太顺利。由于目前Libra锚定的一篮子货币比例还不清楚,尚不能判断是否会对美元全球霸权产生影响,不过Libra的初衷肯定不是为了维护和增强美元霸权。中国在研究数字货币上有着充足的时间窗口。Libra要想落地并不简单,需要相当长时间与各国政府和国际金融机构进行斡旋。因此,中国有着充足时间去研发自己的数字稳定币。此前,央行在数字货币做了很多工作,大量民营企业在区块链、第三方支付技术、数字货币研发上有着重组技术积累和实际应用。因此,中国只需要适当的政策调整,在数字稳定币研发上应该很快能够走到世界前列。[2019/7/19]

2.首先函数会为合约转账requiredToken参数所指定的代币,由于该函数传入的参数是外部可控的,所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。

声音 | Cobra:BTC很快将取代美元成为世界储备货币:比特币官方论坛Bitcoin.org持有人眼镜蛇Cobra发推文称,不可避免BTC很快将取代美元成为世界储备货币。解释原因称,美国作为世界强国正在衰落。[2018/10/28]

3.接着会调用内部函数zap,在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值,由于第二步的操作所以通过了该检查。

动态 | 加密钱包提供商Abra推出新令牌:据Coindesk报道,加密钱包提供商Abra推出了一种新的令牌Bitwise 10,旨在为投资者提供更多的数字货币市场。Bitwise 10加密指数令牌(Bit10)是由Bitwise Asset Management开发,按市值跟踪前10个数字货币,并按月重新平衡。投资者可以购买基于比特币的Bit10令牌,基本上可以同时投资所有10种数字货币。这使得散户投资者可以同时进入“近80%的数字货币市场”。Abra首席执行官Bill Barhydt表示,用户可以将BTC,LTC,BCH或法定货币存入他们的Abra钱包,并将资金转换为Bit10令牌。Barhydt解释说,该令牌本身不是基金。Bit10令牌是100%基于比特币的,它是一个比特币抵押的多重钱包。消费者持有的Bit10令牌钱包中的比特币数量会自动调整,以反映Bit10指数的美元价值。[2018/10/4]

4.之后会外部调用假代币合约的approve函数,该函数为攻击者恶意构造,是为了给Zapper合约转账frax代币,此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。

5.最后外部调用了swapTarget参数所指定的合约,并且调用所传入参数也是外部可构造的,所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。

6.攻击者重复以上步骤,总共攻击了三次,转移了三个受害者账户下的USDC代币约889,343枚。

此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查,导致了任意外部调用的问题,攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:0ms0-0:858ms