8月10日,去中心化年金协议?PunkProtocol遭到攻击,损失890万美元,后来团队又找回了495万美元。
SharkTeam第一时间对此事件进行了攻击分析和技术分析,攻击原因在于投资策略中找到了一个关键漏洞:CompoundModel代码中缺少初始化函数的修饰符的问题,可以被重复初始化。希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
一、事件分析
黑客1的两笔攻击交易:
0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281
谷歌Chrome浏览器发现VenomSoftX恶意扩展,用于窃取加密货币和敏感信息:11月22日消息,谷歌Chrome浏览器近日发现了一款名为“VenomSoftX”的恶意扩展程序,可以用于窃取用户的加密货币和敏感数据。该扩展程序通过Windows版ViperSoftX恶意软件安装,是基于JavaScript的RAT(远程访问木马)和加密货币劫持者。
通过分析ViperSoftX和VenomSoftX样本中硬编码的钱包地址,Avast发现到2022年11月8日,这两者总共为其黑客赚取了约13万美元。这种被盗的加密货币是通过转移被攻击设备上尝试的加密货币交易获得的,不包括平行活动的利润。(IT 之家)[2022/11/22 7:54:43]
0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa
安全团队:dydx的SDK用了一个恶意的第三方组件,可能导致用户凭据泄露:9月24日消息,据Beosin EagleEye平台舆情监测显示,Maciej Mensfeld发现的服务器异常文件http://api.circle-cdn.com/setup.py,通过对比代码,发现与样某样本库中的一份恶意代码样本一致 https://dwz.win/azUF
Beosin安全团队深入分析发现攻击者通过在本机执行以下代码获取系统敏感信息:接着利用socket库函数gethostname提取dns解析,同时获取当前用户基本信息并进行数据封装。然后将组装好的信息利用curl命令以文件格式发到api.circle-cdn.com的服务器上,以随机数字命名的txt格式,执行上传之后并做了清理工作,没有留下生成的临时文件。
Beosin安全团队总结:此脚本目的是获取用户计算机上的敏感配置文件,有些配置文件可能会导致重要的账户凭证信息失窃,会带来较大的风险。[2022/9/25 7:19:25]
黑客2的两笔攻击交易
0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b
警惕Tampermonkey扩展的恶意JavaScript插件劫持盗币攻击:据慢雾区情报反馈,有人在LocalBitcoins进行交易时,被诱使用了一段所谓增强的JavaScript插件导致被盗比特币,该JavaScript插件可以在浏览器知名扩展Tampermonkey(油猴)上方便使用。一旦使用,该恶意JavaScript即可篡改用户在LocalBitcoins上的比特币地址,达到劫持盗币攻击的目的。[2020/11/5 11:42:19]
0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1
动态 | 研究人员发现门罗币挖矿恶意软件新变种LiquorBot:据Decrypt 1月9日消息,近期发现一种门罗币挖矿恶意软件新变种LiquorBot,该恶意软件是被称为Mirai病的新变种,其能够感染数以百万计的设备。该恶意软件最早于2019年5月发现,至今一直处于活跃中。但研究人员发现,及时250万个物联网设备受到感染,整个网络每天也只能挖到价值0.25美元的加密货币。[2020/1/9]
黑客2的攻击合约地址:
0x00000000b2ff98680adaf8a3e382176bbfc34c8f
黑客2的地址:
0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a
0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c
黑客2退回的两笔交易地址:
0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198
谷歌浏览器的恶意扩展软件将目标瞄准加密货币交易者:据coindesk消息,网络安全公司趋势科技本周报道称,谷歌浏览器Chrome上的一款以其效率而闻名的恶意扩展软件FacexWorm已针对加密货币交易平台进行了修改,以窃取谷歌,MyMonero和Coinhive的用户证书。该扩展促成了一种局,使用户将ETH传送至攻击者的钱包,并消耗计算机的处理能力,为加密货币挖掘提供动力。趋势科技称,该扩展还能够在各大主要交易所上劫持加密货币交易,包括Poloniex,HitBTC,Bitfinex,Ethfinex,Binance以及Blockchain(以前的Blockchain.info)的加密钱包。该恶意软件最初在2017年8月首次曝光,当时该软件使用Facebook的聊天软件发送恶意链接,点击后攻击者可以访问用户的Facebook帐户,同时感染他们的操作系统。FacexWorm今年4月初重新出现。趋势科技表示已经发现了一次受影响的比特币交易,但没有确认从加密货币挖矿所获得具体收益。在趋势科技发现之前,Chrome浏览器已经删除了许多FacexWorm扩展,并且Facebook的聊天软件也已能够检测和阻止恶意软件使用的隐藏链接。[2018/5/3]
0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce
下面以黑客1正式攻击交易为例
黑客的攻击执行了delegateCall,将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。
然后,它执行withdrawToForge函数并将所有资金发送到攻击者的合约。
随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。
链接到forge_的所有CompoundModel都使用相同的代码,因此所有资产都转移到攻击者的合约中。目前,导致黑客入侵的代码已被项目方修补。添加了两个Modifiers,这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。
二、安全建议
本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制,可以被重复初始化。初始化函数应只能调用一次,而且需要进行调用者权限鉴别;如果合约是使用初始化函数,而不是在构造函数中进行初始化,则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵,造成合约关键参数和逻辑的错误。
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。而作为项目方,智能合约安全关系用户的财产安全,至关重要!区块链项目开发者应与专业的安全审计公司合作,进行多轮审计,避免合约中的状态和计算错误,为用户的数字资产安全和项目本身安全提供保障。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。