OWN:权限问题：Crosswise被黑事件分析_开发区块链数字货币

此次攻击导致协议损失87.9万美元

近日，BSC上Crosswise遭遇黑客攻击,此次攻击导致协议损失87.9万美元。攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

事件分析

攻击过程如下：

Polygon：未来几周对Polygon zkEVM的优化预计会将费用降低约20%:5月23日消息，Polygon发推称，接下来几周内对Polygon zkEVM的优化预计会将费用降低约20%，这不涉及任何压缩。Polygon zkEVM上的交易费用包括数据可用性和向以太坊发布证明的成本。PolygonzkEVM发布处理的每个事务的状态数据，此外，费用还包括运行生成证明的服务器的费用。数据可用性占网络上交易费用的约80%。[2023/5/23 15:20:48]

修改owner

英媒：瑞银集团正洽谈收购瑞信银行:金色财经报道，据英国媒体当地时间17日消息，瑞士另一家大银行瑞银集团正在就全面或部分收购瑞信银行进行商讨。报道援引多名消息人士的话称，收购计划得到了瑞士银行监管机构的鼓励。两家银行的董事会将于本周末进行会谈，讨论相关事宜。对于这则报道，两家银行尚未发表评论。[2023/3/18 13:12:23]

首先设置trustedFowarder，然后通过transferOwnership函数修改owner。该过程中，自定义的_msgSender()函数存在漏洞。trustedForwarder的修改缺少权限限制，导致_msgSender函数的判断可以通过修改trustedForwarder变量来影响其结果，最终使得owner可以被其他用户修改。

武汉“慧证通”应用区块链技术正式亮相:金色财经报道，9月23日，在“武汉市江汉区知识产权保护（红T）服务中心”与“武汉市江汉区区块链知识产权服务中心”揭牌仪式上，区块链知识产权保护应用“慧证通”正式亮相，标志着武汉市知识产权保护有了新进展。（长江日报）[2022/9/24 7:17:33]

由于上一步攻击者修改了owner，即获取了owner权限，因此，攻击者调用了set函数设置了MasterChef合约中的0号矿池的策略。

高盛：加密货币缩水对美国经济影响不大:5月20日消息，高盛集团以Jan Hatzius为首的经济学家指出，去年美国家庭净资产总额为150万亿美元，因此相对于整体家庭净资产而言，尽管加密货币市场的价值已经从去年的2.3万亿美元下滑到约1.3万亿美元，这样的下跌仍是“非常微小”的。他们预计最近加密货币跳水对总支出和美国经济的拖累将是比较小的。（财联社）[2022/5/20 3:29:34]

通过MasterChef合约中的withdraw函数提取了692184.64CRSS.

将CRSS兑换为BNB.

通过Tornado实现混币，将盗取的BNB转移到其他账户地址

总结：本次攻击的根本原因是项目方自定义的_msgSender函数存在漏洞，导致合约的Owner权限可以被黑客更改从而获取MasterChef合约的Owner权限，最后通过Owner权限窃取了项目中的资金。另外，攻击者账户发起攻击的资金来源于Tornado混币平台。

安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队，为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成，满足不同客户需求，独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容，全面保障智能合约安全。

来源：金色财经

标签：OWNNER区块链STEtown币吧generaldig开发区块链数字货币ste币价格

聚币热门资讯