NFT:小缺陷大损失 ，GYM Network何至于此 ？-ODAILY_NFTP

前言

北京时间2022年6月8日，知道创宇区块链安全实验室自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击，损失包括7475枚BNB，共计约216W美元，目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊，2000枚BNB利用BSC-Tornado进行混币，余下3000枚BNB在攻击者地址。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

被攻击合约：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

Phoenix Finance 遭到攻击导致损失 10 万 USDC:金色财经报道，据 CertiK 监测，3 月 7 日 DeFi 协议 Phoenix Finance 遭到攻击导致损失约 10 万 USDC。攻击者使用假 OPT 代币借用 USDC，然后将资金桥接到以太坊并存入 Tornado Cash。[2023/3/8 12:49:32]

攻击者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

ApeCoin质押系统将于12月5日上线，质押奖励将于12月12日开始积累:11月24日消息，Web3工具开发商Horizen Labs在推特上宣布，ApeCoin质押系统Ape Staking将于12月5日上线并开启预存期，12月5日至12月7日为合约筹款期，12月12日开始积累质押奖励。对于预存款期，Horizen Labs解释称，为了兼顾必要的漏洞赏金AIP相关工作和重新审核提交，预存款期缩短了一周。

此外，大多数国家/地区的用户都可以使用ApeStake.To；但以下国家或地区的用户将被地理封锁：美国、加拿大、朝鲜、叙利亚、伊朗、古巴、俄罗斯、克里米亚、顿涅茨克和卢甘斯克。

此前7月23日消息，ApeCoin发布公告称，根据已通过的AIPs-21和22提案，ApeCoin已选择Horizen Labs作为合作伙伴，为ApeCoin建立和管理质押系统。[2022/11/24 8:02:36]

GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2

美国华盛顿州和宾夕法尼亚州将对NFT征税:金色财经报道，华盛顿和宾夕法尼亚州将是第一批对NFT征税的州，州政府官员在夏初做出了决定，值得注意的是，收藏家可能也必须追溯支付他们的NFT售卖所得费用。宾夕法尼亚州税务局早在6月就决定对NFT征税，州政府官员没有公布任何细节或解释。一个月后，华盛顿税务局发表了一份关于税收指导的声明。（nftevening）[2022/9/22 7:12:38]

漏洞分析

项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制，导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押：

蓝筹NFT市场Strive完成50万美元Pre-seed轮融资:7月27日消息，蓝筹 NFT 市场 Strive 宣布完成 50 万美元 Pre-seed 轮融资，100X.VC、Anupam Mittal、Let's Venture、GrowX Ventures、Amey Mashelkar (Jiogennext Fund)、Saurabh Agarwal（Zebpay 创始人）等参投。Strive 即将推出一个专为普通投资者、加密货币持有者和 Web3 用户提供服务的蓝筹 NFT 市场，帮助更多人有机会接触这些高价值 NFT，继而进一步提升市场流动性。（bwdisrupt）[2022/7/27 2:41:29]

对于应该开放给用户的质押内部函数是_deposit函数，该函数实现了对于token的审批传入，如下图所示：

美元指数DXY站上107，续创2002年12月以来新高:7月6日消息，美元指数DXY站上107，续创2002年12月以来新高。(金十)[2022/7/6 1:55:16]

对应的_autoDeposit函数则实现了"特权"质押，即不需要转入Token进行质押。同时该函数直接暴露给了用户，函数对比如下：

攻击流程

攻击者为了防止链上MEV和抢跑机器人，将合约进行了分步部署执行，同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离，以其中一笔部署调用为例：

1.部署合约后调用depositFromOtherContract实"特权"质押，对应0xfd4a2266方法：

内部调用细节如下:

2.调用0x30649e15实现对上一步特权质押的Token回撤：

3.利用0x1d111d13函数售出获取到的的GYM-Token：

重复多次"特权"质押--回撤--售出步骤，攻击者最终获取到7475枚BNB:

为了抑制抢跑，攻击者将添加质押和回撤进行了步骤分离，两个步骤均为核心操作，同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。

溯源处置

本次攻击原因是项目方实现的特权函数权限控制不当，在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改，为其添加了权限控制：

并在20分钟后对逻辑合约添加了紧急账户处置函数：

而对于项目方Deployer地址分析，其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞，4天前的合约则不存在此函数：

同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago：

攻击者的资金准备(FromTornado)则在约6小时以前，攻击者的身份也值得令人深思。

总结

虽然只是一处小的控制缺陷，却导致了数百万美元的损失。项目方的处置虽较为及时，漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用，各项目方在开发和审计流程上切莫大意。

标签：NFTGYMQUODEPNFTPGYMAI币QUO价格dep币前景

XMR热门资讯