安全实验室?监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。
攻击涉及基础信息
Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f
非托管流动性质押平台 ether.fi 将于 5 月首周上线主网:4月23日消息,非托管流动性质押平台ether.fi宣布将于5月1日当周上线主网。ether.fi展示了运行完整节点的流程。ether.fi允许用户保持对其密钥的控制,同时将以太坊验证器操作委托给节点操作员。
此前报道,今年2月份,Ether.Fi完成530万美元融资,NorthIsland Ventures、Chapter One和Node Capital共同领投,BitMex创始人Arthur Hayes参投。[2023/4/23 14:20:59]
攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67
比特币势创自2021年以来最佳季度表现:4月1日消息,根据道琼斯市场数据,比特币价格本季度上涨了约70%,有望创下自2021年第一季度以来的最佳季度表现。受全球银行业危机影响,比特币本月已上涨22%。尽管联邦监管机构对加密货币公司进行了打击,而且市场环境越来越厌恶风险,但比特币仍在飙升。Oanda高级市场分析师Craig Erlam表示:“单从价格角度看,今年第一季度比特币的表现非常惊人。但从基本面来说,你可以认为情况恰恰相反,这就是造成这么多困惑的原因。”比特币目前交投在2.8万美元/枚上方,仍较2021年11月创下的68990美元的历史高点低59%。(金十)[2023/4/1 13:38:42]
黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090
去中心化体育预测市场Frontrunner完成475万美元融资:金色财经阿伯丁,基于Injective的去中心化体育预测市场Frontrunner完成475万美元种子轮融资,Susquehanna Private Equity Investments领投,SOMA Capital、Toy Ventures、Ledger Prime、WAGMI Ventures等参投。
据悉,Frontrunner将融资资金用于产品开发、团队发展和获得许可证。(The Block)[2022/12/15 21:45:13]
攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4
此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。
漏洞利用
为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?
从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。
而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:
总结
本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。