此次攻击导致协议损失87.9万美元
近日,BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
事件分析
攻击过程如下:
The Sandbox:第三方盗取员工计算机权限,向用户发送包含恶意链接的电子邮件:3月2日消息,The Sandbox 发文表示,2 月 26 日发现未经授权的第三方获得了团队一名员工计算机的访问权限,并使用其权限发送了一封虚假的声称来自 The Sandbox 的电子邮件。这封名为“The Sandbox Game (PURELAND) Access”的电子邮件包含指向恶意软件的超链接,能在用户的计算机上远程安装恶意软件,从而授予其对计算机的控制权和对用户个人信息的访问权。
The Sandbox 表示,在发现未经授权的访问后,已通知收件人,并封禁了该员工的帐户和对 The Sandbox 的访问,目前还没有发现任何进一步的影响。[2023/3/2 12:38:31]
修改owner
Plasm将使用NFTY Connect为其PolkaPet NFT持有者提供特殊访问权限:3月27日消息,波卡二层扩容协议Plasm Network宣布与专注于NFT生态系统发展的基金会NFTY Labs达成合作,将利用NFTY Connect为持有NFT的用户提供特殊访问权限(SPAR),为Plasm PolkaPet NFT所有者增加价值。只需将NFT放在钱包中并获得VIP社区会员访问权限,这将使社区从中获得更多价值。
据悉,NFTY Connect是NFTY的第一款产品,功能包括创建NFT特殊访问权限(SPAR)、使用Web 3.0去中心化营销工具、解锁NFT持有者的专属访问权限。[2021/3/27 19:22:51]
币安发布SUB智能合约权限风险提示:币安公告称,经审核仅SUB代币存在项目方超权限风险,我们检查了区块链记录,确认这个权限并未被使用后,与SUB团队及时进行了沟通,SUB确认了这个问题并将提供解决方案。[2018/6/11]
首先设置trustedFowarder,然后通过transferOwnership函数修改owner。该过程中,自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制,导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果,最终使得owner可以被其他用户修改。
BM指出主网上线后可能存在用户权限数据量的问题要优先考虑:据金色财经合作媒体IMEOS报道,在EOS开发者群里,有人向BM提问,当使用“cleos set account permission”命令时,必须一次性指定所有权限数据、密钥或帐户,但当数据量变得庞大的时候,问题就会产生。BM回应说,CLI应该使添加或删除密钥变得更加容易。在6月份主网上线后,处理庞大的用户权限数据量的问题是要优先考虑的,那时候测试、漏洞修复等工作将展开。据悉,CLI指的是Command-Line Interface命令行界面,是一种用户界面[2018/5/2]
由于上一步攻击者修改了owner,即获取了owner权限,因此,攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。
通过MasterChef合约中的withdraw函数提取了692184.64CRSS.
将CRSS兑换为BNB.
通过Tornado实现混币,将盗取的BNB转移到其他账户地址
总结:本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞,导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限,最后通过Owner权限窃取了项目中的资金。另外,攻击者账户发起攻击的资金来源于Tornado混币平台。
安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。