Cointime

Cointime

Download App
iOS & Android

SharkTeam: Phân tích tấn công AzukiDAO

Vào ngày 3 tháng 7, AzukiDAO đã bị tấn công và kẻ tấn công đã kiếm được khoảng 69.000 đô la.

SharkTeam lần đầu tiên tiến hành phân tích kỹ thuật về sự cố này và tóm tắt các biện pháp phòng ngừa bảo mật, hy vọng rằng các dự án tiếp theo có thể rút kinh nghiệm và cùng nhau xây dựng tuyến phòng thủ bảo mật cho ngành công nghiệp blockchain.

1. Phân tích sự kiện

Địa chỉ kẻ tấn công:

0x85D231C204B82915c909A05847CCa8557164c75e

0x8eadc7cc0a77594e3fa999e80e1ccb7f4e1c04e0

Hợp đồng bị tấn công:

0x8189AFBE7b0e81daE735EF027cd31371b3974FeB

Giao dịch tấn công:

0x6233c9315dd3b6a6fcc7d653f4dca6c263e684a76b4ad3d93595e3b8e8714d34

Quá trình tấn công:

(1) Kẻ tấn công (0x85D231C2) gọi chức năng yêu cầu của hợp đồng bị tấn công (0x8189AFBE) và sau khi vượt qua xác minh chữ ký, trích xuất 31250 Bean Token

(2) Sau đó, kẻ tấn công (0x85D231C2) tiếp tục gọi chức năng xác nhận quyền sở hữu của hợp đồng bị tấn công (0x8189AFBE) và vẫn lấy được 31.250 Bean Token.

(3) Tiếp tục các hoạt động trên và cuối cùng chuyển đổi 6.250.000 Bean Token được chiết xuất thành eth dưới dạng uniswap để kiếm lợi nhuận.

(4) Lặp lại các thao tác trên và cuối cùng kiếm được lợi nhuận là 36 eth.

2. Phân tích lỗ hổng

Nguyên nhân sâu xa của cuộc tấn công này là do không xác minh chính xác tính hợp lệ của chữ ký trong hợp đồng, dẫn đến việc trích xuất nhiều lần. Thông qua việc phân tích nhiều giao dịch chức năng yêu cầu, người ta thấy rằng các chữ ký được chuyển bởi kẻ tấn công trong mỗi giao dịch là giống nhau.

Mã nguồn của hợp đồng bị tấn công (0x8189AFBE) đã được phân tích và người ta thấy rằng hợp đồng ghi lại chữ ký được trích xuất, nhưng không xác minh chữ ký.

Miễn là các tham số đã truyền không thay đổi, có thể đạt được nhiều lần trích xuất trước khi hết thời hạn chữ ký, khiến kẻ tấn công sử dụng một chữ ký để thực hiện nhiều hoạt động trích xuất mã thông báo.

3. Khuyến nghị bảo mật

Để đối phó với cuộc tấn công này, chúng ta nên tuân theo các biện pháp phòng ngừa sau trong quá trình phát triển:

(1) Khi sử dụng chữ ký, cần xác minh nghiêm ngặt khả năng sử dụng lại chữ ký.

(2) Trước khi dự án trực tuyến, cần tìm kiếm sự hỗ trợ kỹ thuật từ nhóm kiểm toán chuyên nghiệp của bên thứ ba.

Về chúng tôi

Tầm nhìn của SharkTeam là bảo vệ toàn diện an ninh của thế giới Web3. Nhóm bao gồm các chuyên gia bảo mật giàu kinh nghiệm và các nhà nghiên cứu cấp cao từ khắp nơi trên thế giới. Họ thành thạo lý thuyết cơ bản về chuỗi khối và hợp đồng thông minh, đồng thời cung cấp các dịch vụ bao gồm kiểm toán hợp đồng thông minh, phân tích trên chuỗi và ứng phó khẩn cấp. Nó đã thiết lập mối quan hệ hợp tác lâu dài với những người chơi chính trong các lĩnh vực khác nhau của hệ sinh thái blockchain, chẳng hạn như Polkadot, Moonbeam, đa giác, OKC, Huobi Global, imToken, ChainIDE, v.v.

Trang web chính thức: https://www.sharkteam.org

Trang web chính thức: https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

Bất hòa: https://discord.gg/jGH9xXCjDZ

Điện tín: https://t.me/sharkteamorg

Metaverse Đội cá mập
Các bình luận

Tất cả bình luận

Recommended for you

  • Quốc hội Đức thông qua "Đạo luật số hóa thị trường tài chính"

    Theo Ledger Insights, Quốc hội Đức (Bundestag) đã thông qua Đạo luật số hóa thị trường tài chính (Finanzmarktdigitalisierungsgesetz của FinmadiG) trong tuần này. Nghị viện đã đáp lại lời kêu gọi của ngành nhằm đảm bảo luật pháp được áp dụng trước khi MiCAR có hiệu lực hoàn toàn vào ngày 30 tháng 12. FinmadiG không chỉ xử lý tiền điện tử và MiCAR mà còn ảnh hưởng đến các luật khác của EU như DORA và Quy định chuyển tiền. Đối với MiCAR, nó đã giới thiệu Đạo luật điều chỉnh thị trường tiền điện tử (KMAG), thay thế các quy tắc tiền điện tử cũ của Đức bằng MiCAR. Về mặt kỹ thuật, MiCAR là một quy định và do đó không yêu cầu luật pháp địa phương. Tuy nhiên, cần phải có luật pháp để chỉ định BaFin là cơ quan giám sát, nếu không BaFin không thể cấp giấy phép. Điều này sẽ cho phép các công ty EU có giấy phép tiền điện tử từ các quốc gia khác hoạt động ở Đức, nhưng các công ty Đức sẽ không thể hoạt động ở EU. Ngoài ra, MiCAR cho phép các công ty có giấy phép hiện tại tiếp tục hoạt động trong tối đa 18 tháng, với thời gian chuyển tiếp được xác định theo từng khu vực pháp lý. Pháp luật mới của Đức quy định một năm.

  • Odos DAO: Xuất hiện các cuộc tấn công email lừa đảo liên quan đến "Chương trình khách hàng thân thiết của ODOS", nhắc nhở người dùng cảnh giác

    Odos DAO đã ban hành một tài liệu về Cả Odos DAO và ODOS đều không gửi email cho người dùng. Tất cả thông tin liên lạc chính thức chỉ thông qua các tài khoản Twitter đã được xác minh, không nhấp vào bất kỳ liên kết đáng ngờ nào.

  • Vivek Ramaswamy

    Vivek Ramaswamy, người đứng đầu Ban Hiệu quả Chính phủ Hoa Kỳ cùng với Musk, xác nhận rằng tài khoản X của ông đã bị đánh cắp sau khi đăng tin sai sự thật về mối quan hệ hợp tác với USUAL.

  • Binance Futures sẽ triển khai các hợp đồng giao hàng quý 2 dựa trên U và Coin 0627

    Binance Futures sẽ ra mắt các hợp đồng giao hàng quý 0627 ký quỹ U và ký quỹ Coin sau đây trong vòng vài giờ sau khi hợp đồng giao hàng quý 1227 ký quỹ U và ký quỹ Coin hết hạn vào lúc 16:00 ngày 27 tháng 12.

  • Scam Sniffer: Tài khoản X của zkPass đã bị hack và đăng tin sai sự thật về airdrop

    Theo bài đăng của Scam Sniffer trên nền tảng X, tài khoản X của zkPass đã bị hack và các thông báo airdrop sai lệch đã được đăng để cảnh báo cộng đồng.

  • Người sáng lập Curve phản hồi: Không có CRV để hỗ trợ vị trí, và phần CRV này đã bị đánh cắp trong vụ hack UwU Lend hồi tháng 6

    Theo tin tức ngày 19 tháng 12, người sáng lập Curve, Michael Egorov, đã tweet để phản hồi về việc “918.000 CRV trong địa chỉ được đánh dấu của nó đang bị thanh lý”, nói rằng phần CRV này đã bị đánh cắp trong cuộc tấn công của hacker UwU Lend vào ngày 10 tháng 6. Vì vậy, theo nghĩa đó, chúng không phải là “CRV thật” mà là “sự nhận được lời hứa của Sifu sẽ hoàn trả số tiền bị hack”. Theo tin tức trước đó, giao thức cho vay UwU Lend đã bị tấn công một lần nữa vào tháng 6 năm nay, khiến tài sản bị mất khoảng 3,72 triệu USD.

  • Slurpycoin trên BSC bị tấn công bởi các khoản vay flash. Kẻ tấn công đã sử dụng cơ chế mua lại để thao túng giá token nhằm kiếm lợi nhuận.

    Theo giám sát của CertiK Alert, Slurpycoin trên BSC đã phải chịu một cuộc tấn công cho vay ngắn hạn. Kẻ tấn công đã sử dụng cơ chế mua lại để thao túng giá token và kiếm được khoản lợi nhuận khoảng 3.000 USD từ hoạt động kinh doanh chênh lệch giá. Cuộc tấn công này cũng là nguyên nhân gây ra lỗ hổng ngày 2 tháng 7 khiến token MRP trị giá khoảng 10.000 USD.

  • Europol thu giữ hơn 26 triệu đô la tiền điện tử từ 9 kẻ buôn ma túy

    Theo tin tức ngày 19 tháng 12, Europol đã hợp tác với các cơ quan thực thi pháp luật ở sáu quốc gia để triệt phá một nhóm buôn bán ma túy quốc tế sử dụng tiền điện tử. Chín nghi phạm đã bị bắt trong chiến dịch này. Trong quá trình hoạt động, các vật có giá trị bao gồm vàng và hàng xa xỉ, 35.000 euro tiền mặt và 25 triệu euro tiền điện tử, tương đương 26,23 triệu USD, đã bị thu giữ. Tổng giá trị tài sản bị thu giữ là 27 triệu euro, tương đương 28,33 triệu USD.

  • Binance Alpha công bố loạt dự án đầu tiên: KOMA, Cheems, APX, ai16z và AIXBT

    Theo tin tức chính thức, Binance Alpha đã công bố loạt dự án đầu tiên, cụ thể là: KOMA, Cheems, APX, ai16z và AIXBT.

  • Kinto đảm bảo khoản tài trợ 5 triệu USD để hỗ trợ các tổ chức tài chính và các giao thức phi tập trung.

    Kinto có trụ sở tại Orlando, Florida, nơi cung cấp blockchain lớp thứ hai được KYC chứng nhận hỗ trợ các tổ chức tài chính và các giao thức phi tập trung, đã huy động được tổng cộng 5 triệu đô la trong hai vòng tài trợ. Trong số đó, 1,5 triệu USD đến từ vòng tài trợ hạt giống do Kyber Capital Crypto dẫn đầu và 3,5 triệu USD đến từ vòng tài trợ thứ hai do Kyber Capital Crypto, Spartan Group và Parafi dẫn đầu, cũng như Skybridge, Kraynos, Soft Holdings, Deep. Các công ty mạo hiểm, mô-đun, Tane và Robot và các nhà đầu tư khác đã tham gia. Công ty dự định sử dụng số tiền này để mở rộng đội ngũ và phát triển mạng lưới. Kinto, do Giám đốc điều hành Ramon Recuero lãnh đạo, là mạng lớp thứ hai được KYC chứng nhận có khả năng hỗ trợ các tổ chức tài chính hiện đại và các giao thức phi tập trung. Đây là mạng an toàn, chi phí thấp, đáp ứng các yêu cầu của DeFi và tài chính truyền thống. Kinto bảo vệ quyền riêng tư và tài sản của người dùng. Cơ chế KYC của nó mã hóa tất cả thông tin cá nhân và lưu trữ thông tin đó với bên thứ ba, chỉ chia sẻ thông tin đó theo yêu cầu của người dùng. Ngoài ra, mọi ứng dụng đều được bảo hiểm trên đó, bảo vệ người dùng khỏi các lỗ hổng không thể phát hiện và gian lận ẩn danh. Cuối cùng, Kinto đưa ra các ưu đãi dành cho nhà phát triển, khiến nơi đây trở thành nơi lý tưởng để khởi chạy các ứng dụng mới.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty