CRO:Crosswise攻击事件分析：“一两拨千金”-ODAILY_TER

前言

2022年1月18日，知道创宇区块链安全实验室监测到BSC上Crosswise遭遇攻击,此次攻击导致协议损失87.9万美元。

攻击者仅用1个CRSStoken便获取CrosswiseMasterChef池中价值87.9万美元的692K个CRSS。实验室将对本次事件深入跟踪并进行分析。

基础信息

攻击交易哈希：

0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b

攻击者地址：

0x748346113B6d61870Aa0961C6D3FB38742fc5089

攻击合约：

0x530B338261F8686e49403D1b5264E7a1E169F06b

Andre Cronje：Fantom将成为区块链平台的Youtube或Twitch:12月1日消息，Andre Cronje发布推文称，Fantom将成为区块链平台的Youtube或Twitch。

此前报道，Fantom为了留住有才华的创作者，并奖励高质量的dApp，发布了dApp gas货币化计划提案，以降低Fantom当前的消耗率，让更多网络费用直接重定向到基于Fantom构建的dApp。[2022/12/1 21:16:13]

MasterChef：

0x70873211CB64c1D4EC027Ea63A399A7d07c4085B

CrosswiseRouter：

0x8B6e0Aa1E9363765Ea106fa42Fc665C691443b63

Litentry金丝雀网络Litmus Crowdloan已上线Kusama:据Litentry官方消息，Litmus Crowdloan现已上线Kusama。激励方案如下：

- 代币奖励比率：30 LIT : 1 KSM（达到上限时，占总代币量的1.5%）

- 推荐奖励：在被推荐人获得的基本奖励上获得额外10%的推荐奖励。推荐人获得5%，被推荐人获得5%。

- 目标Kusama卡槽：#23 ~ #25

- Crowdloan上限：50,000 KSM

- 卡槽租赁期：48周

- Crowdloan活动截止日期：2022年2月15日

- 最小贡献值：0.1 KSM

- 奖励分发：LIT奖励将在每个区块中线性分配。奖励分发将于Litmus平行链在Kusama中继链上运行并且启用余额转移后开始。分发将在平行链卡槽到期时结束，即48周后。

据悉，Litmus网络将是连接到Kusama的金丝雀网络，而Litentry主网将连接Polkadot生态系统。简而言之，Litmus网络是Litentry主网的一个伙伴网络。它是一个更轻的网络，具有简单的代币经济，更少的费用，并容许更快和更容易的最小化可行产品发布。未来，这两个网络将共存，并在相应的生态系统中与其内项目合作。[2022/1/22 9:05:15]

CRSS：

MicroStrategy CEO：BTC采矿与世界总能源使用量相比“微不足道”:金色财经报道，MicroStrategy 首席执行官迈克尔·塞勒（Michael Saylor）表示，比特币（BTC）采矿的总能源使用“无关紧要”，而且正在变得更有效率 ，因为采矿业正准备本周在美国众议院举行听证会。根据首席执行官的说法，比特币使用的能源量仅占其他主要行业的“舍入误差”，与世界总能源使用量相比“微不足道，相对于全球能源使用量，BTC使用了大约 14 个基点，而且鉴于比特币的哈希率或计算能力“大幅增加”，这一数字在过去一个季度有所上升。（cryptonews）[2022/1/19 8:59:12]

0x99FEFBC5cA74cc740395D65D384EDD52Cb3088Bb

攻击核心

此次攻击的核心在于，Crosswise中的MasterChef合约Owner地址设置即transferOwnership函数能够被攻击者绕过，使得攻击者能够成为新的Owner并对MasterChef池子进行攻击利用。我们将本次攻击过程分为两个阶段进行分析：获取Owner权限攻击和MasterChef池攻击。

CROSS盲盒游戏26日10:00上线，现公布第一期NFT联名品牌方:据官方消息，CROSS?Mystery Box（盲盒游戏）于2月26日10:00正式上线，每一期会上线一批NFT，每个NFT均配置一个盲盒，其中只有1个盲盒内附大奖。每期盲盒活动的大奖由CyberVein基金会提供。

?第一期盲盒游戏参与竞拍的4副联名款NFT的合作伙伴分别是火币生态链Heco、MXC交易所、Poloniex交易所、NFT平台Piction，并由知名NFT艺术家池磊根据4位合作伙伴的品牌元素设计出各具特色的中国牛年与币圈牛市NFT，前2期的NFT总价已超过500万，盲盒总奖池价值1BTC。玩家可以在游戏时间内对任意联名款NFT多次出价，每一个盲盒中奖率高达25%。详情见官网链接。[2021/2/24 17:47:35]

获取Owner权限攻击

Andre Cronje：Keep3rV1目前暂无代币销售:yearn.finance创始人Andre Cronje通过Medium发布Keep3r Network V1的最新进展。目前该项目已经完成治理审计，库藏价值为980万美元，治理社区能够决定如何使用分配，在过去的24小时当中该项目已经获得交易费38.4万美元。

需要声明的是，目前该项目没有TG、Discord和推特，同时也没有代币售卖。该项目于昨天推出，是去中心化链上服务外包网络。[2020/10/29]

1.由于在MasterChef合约中setTrustedForwarder函数为公开可见性且未作权限设置，攻击者先将自己的地址设置为TrustedForwarde地址。

2.Crosswisefi项目方对MasterChef的_msgSender()函数并未采取openzepplin的标准写法且存在漏洞，导致攻击者能够通过构造恶意的calldata实现绕过onlyOwner限制完成合约Owner的获取。

下图为攻击者绕过onlyOwner权限构造的恶意payload:

MasterChef池攻击

1.攻击者在CrosswiseRouter中用0.01个WBNB兑换出3.71个CRSS

2.攻击者调用deposit将1个CRSS质押到CrosswiseMasterChef

3.由于上一阶段攻击者已经获取到MasterChef的Owner权限，此时攻击者调用set函数对MasterChef的pid为0的池子重新部署了一个未开源的策略合约:0xccddce9f0e241a5ea0e76465c59e9f0c41727003

4.攻击者调用MasterChef的withdraw函数从池子中获取692K的CRSS

5.最后攻击者把692K的CRSS通过CrosswiseRouter合约swap兑换出547个BNB完成攻击,获利超87.9万美元。

策略合约

猜想

由于攻击者部署的策略合约并未开源，我们只能反向推导猜想策略合约的主要逻辑：

1.根据下图第18行代码可以推断出合约中lockedAmount应该是一个极大值才能支撑攻击者692k的代币转出；又根据第7-11行可以推导出攻击者部署的strategy合约的LockeTotal()函数返回值极大、sharesTotal()返回值极小。

2.在上图代码23行当_amount>0时，会先计算出user的shareRemoved，然后在执行user.amount=user.amount.sub(shareRemoved);，此时若shareRemoved大于user.amount则代码执行不会通过，可以推导出26行的shareRemoved值很小，又shareRemoved是调用攻击者部署strategy合约中withdraw获取，所以此时的strategy合约中withdraw的返回值会很小，小于之前质押的1个CRSS数量；再结合链上数据可推导攻击者部署strategy合约中的withdraw调用返回值为0。

反编译

为了证实我们的猜想是否正确，我们将攻击者部署的策略合约进行反编译。

反编译后我们可以发现存在一个极大值和一个较小值的常量，即对应猜想1中LockeTotal和sharesTotal值，猜想1正确。

对于猜想2,经过反编译后我们可以看到策略合约的withdraw最后的返回值为0，猜想2正确

总结

这次攻击产生的主要原因是项目方使用错误的方法去获取msgSender，导致合约的Owner权限更改能被绕过。知道创宇区块链安全实验室在此提醒，任何有关合约权限问题的操作都需要慎重考虑，合约审计、风控措施、应急计划等都有必要切实落实。

标签：CROTERSTEASTCROSSCHAIN币TERK币PunksterArtRASTA币

币安app官方下载最新版热门资讯