据慢雾区消息,2021年6月29日,去中心化跨链交易协议THORChain发推称发现一个针对THORChain的恶意攻击,THORChain节点已作出反应并进行隔离和防御。慢雾安全团队第一时间介入分析,经分析发现,这是一起针对跨链系统的“假充值”攻击,结果分享如下:
什么是“假充值”?
当我们在谈论“假充值”攻击时,我们通常谈的是攻击者利用公链的某些特性,绕过交易所的充值入账程序,进行虚假充值,并真实入账。
DYDX基金会声明:请用户警惕DYDX假币:金色财经报道,近日,DYDX基金会接到反馈,市场已有部分非法分子打着DYDX旗号在发行假币DYDX。在此,DYDX基金会郑重声明,DYDX到目前为止,还未进行释放。DYDX首期领取时间为2021年9月8晚23:00(UTC+8)。请广大用户注意防范风险,保护自身财产安全,并对打着DYDX旗号发行代币的非法行为予以抵制。
DYDX地址:0x92d6c1e31e14520e676a687f0a93788b716beff5。[2021/9/8 23:10:05]
随着RenVM、THORChain等跨链服务的兴起,跨链节点充当起了交易所的角色,通过扫描另一条公链的资产转移情况,在本地公链上生成资产映射。THORChain正是通过这种机制,将以太坊上的代币转移到其它公链。
漏洞分析
我们从业务逻辑入口去追踪分析此漏洞的成因。
DeFiBox安全提醒:警惕Heco链上APN假币风险:DeFi门户网站DeFiBox项目监测发现,目前Heco上搜索到的APN代币为假冒APN项目假币,且买入假币的用户无法卖出,安全风险极高。据了解,目前APN项目Token并未在Heco发行。
DeFiBox提醒广大用户全面了解项目信息,注意查看Token合约辨别真伪,杜绝假币风险。[2021/4/22 20:48:48]
首先看到在处理跨链充值事件时,调用了getAssetFromTokenAddress?方法去获取代币信息,并传入了资产合约地址作为参数:
-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
?
Yearn核心开发者:发Deriswap假币的者错把全部“收益”转给了AC:12月9日,Yearn核心开发者Banteg发推表示,发Deriswap假币的者通过给AC的地址发送假币来普通用户,但他却错把所得收益也转给了AC。他还表示,计划由社区用户部署一个Merkle Distributor的合约将资金归还给用户。[2020/12/9 14:40:10]
在getAssetFromTokenAddress方法里,我们看到它调用了getTokenMeta?去获取代币元数据,此时也传入了资产合约地址作为参数,但在此处有一个定义引起我们的警觉,在初始化代币时,默认赋予了代币符号为ETH,这就是漏洞的关键点之一:asset:=common.ETHAsset,如果传入合约地址对应的代币符号为ETH,那么此处关于symbol的验证将被绕过。
-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
孙宇晨就Justswap上线致币圈的公开信:关于解决假币问题:据最新消息显示,波场TRON创始人兼BitTorrent CEO孙宇晨发布了Justswap上线致币圈的公开信,孙宇晨表示:“解决假币问题。Justswap团队将重拳出击整改假币问题,我们将会把下拉列表栏的代币全部审查一遍,确保列表中的代币为真币,与此同时,官方开启假币审核,推出假币举报通道(report@justswap.org),一经审核发现为假币的,将做下架处理。”[2020/8/19]
12人因以假币价值170万美元的比特币被日本逮捕:据cointelegraph援引TBS报道,东京和兵库县的在此逮捕了涉嫌用假的法币价值1.9亿日元(合170万美元)比特币的五人。至此,案件中被捕人员总数达到12人。据TBS报道,2017年7月25日,一家东京酒店中,嫌疑人们装作受害人的公司经纪人,交换了2亿日元(约合190万美元)的假币现金。受害人从经纪人确认已收到现金后,受害人接着将约1.9亿日元(合170万美元)的比特币等值转移到在横浜一家加密货币交易所的指定账户。 嫌疑人后兑现了比特币,赚得超过1.7亿美元。前七名嫌疑人于4月10日被捕,32岁的Kentaro Yagihashi涉嫌指挥该团体。所有十二名男子均否认指控。[2018/4/19]
继续验证我们的猜测,我们看到当代币地址在系统中不存在时,会从以太坊主链上去获取合约信息,并以获取到的symbol构建出新的代币,此时所有的漏洞成因都已经显现:
-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
-?bifrost/pkg/chainclients/ethereum/tokens_db.go
-?bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go
总结一下,首先是由于错误的定义,如果跨链充值的ERC20代币符号为ETH,那么将会出现逻辑错误,导致充值的代币被识别为真正的以太币ETH。
还原攻击真相
我们来看一笔攻击交易的执行过程,可以提取出充值的代币合约地址:
我们在Etherscan上查看这个代币合约地址:
发现这个地址对应的合约的代币符号正是ETH,攻击者正是通过部署了假币合约,完成了这次跨链假充值。
漏洞修复
漏洞补丁:
项目方在发现攻击后快速对代码进行了修复,删除了默认的代币类型,使用common.EmptyAsset进行空代币定义,并在后续逻辑中使用asset.IsEmpty()进行判断,过滤了没有进行赋值的假充值代币。
总结
幸运的是项目方及时发现了本次攻击,未造成巨额财产损失,但作为跨链系统,未来可能聚集巨额的多链资金,安全性不容忽视,因此慢雾安全团队建议在进行跨链系统设计时应充分考虑不同公链不同代币的特性,充分进行“假充值”测试,做好状态监控和预警,必要时可联系专业安全公司进行安全审计。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。