月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Gate.io > 正文

Superfluid_HQ被黑分析-ODAILY

作者:

时间:1900/1/1 0:00:00

前?

2022年2月8日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议superfluid遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。

攻击涉及基础信息

Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

安全团队:SuperNormal项目Discord服务器遭到攻击:金色财经报道,据CertiK监测,SuperNormal项目Discord服务器遭到攻击。请社区用户不要点击该Discord服务器发送的任何链接。[2022/12/8 21:31:08]

攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

Disaster Fighters和SuperWorld合作发行代表加勒比国家的NFT收藏卡:8月10日消息,为应对飓风季节,Disaster Fighters和SuperWorld合作发行了一系列代表每个加勒比国家的NFT收藏卡。使用区块链技术,所有NFT销售都可以从买家追溯到受益国家,所有收益都将捐给CDEMA和当地应急机构。CDEMA的执行董事ElizabethRiley说:\"许多加勒比国家一直在与干旱、COVID-19、火山爆发以及现在即将到来的飓风季节的复合影响作斗争。通过这项活动,我们希望使用一种创新的、包容性的方法,确保社区获得必要的计划、信息和工具,以应对我们作为一个地区一直面临的灾害影响。\"(prnewswire)[2021/8/10 1:45:34]

攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

ZBG Super Launchpad第三期项目—CTEC申购已开启:据ZBG官网消息,ZBG Super Launchpad第三期项目—CTEC已于2020年4月13日14:00开启,4月14日14:00将结束申购,并于16:00正式开通CTEC/USDT交易对;Super Launchpad是人人参与既有所得的全新模式;实际获得代币=(个人申购金额/全网总申购金额)X 代币销售总量。

据悉,ZBG首期项目CRD开盘30分钟涨幅超1600%,第二期FOB开盘30分钟涨幅达1000%

详情请查看ZBG官网公告。[2020/4/13]

漏洞分析

漏洞核心

此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造,达到合约的目的。

漏洞利用

为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?

从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。

而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:

总结

本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

标签:CTXUPESUPSUPEProjectXSUPERBIDSUP币Supersonic Finance

Gate.io热门资讯
DAO:DAOrayaki:10个正在被DAO颠覆的行业-ODAILY_NFTDAO

DAO会是下一次工业革命吗? 基础设施/金融法律可持续发展教育领域行动主义IRL(现实生活)风险投资艺术科学时尚 在我们写下《DAO改变世界的15种方式》后的8个月里.

1900/1/1 0:00:00
比特币:顶峰课堂:经济术语「缺口」-ODAILY_DxChain Token

缺口是指资产价格在快速变动过程中,由于一段价格区间内没有产生任何交易而产生的一种价格跳空现象,显示在K线图上,就是一个真空区域,这片真空区域就被称为“缺口”,或者“跳空”.

1900/1/1 0:00:00
OLA:Ola Finance攻击事件分析:400万美元丢了,你以为这是愚人节故事?-ODAILY_SOLAPE

北京时间2022年3月31日上午10时左右,Fuse上的OlaFinance被恶意利用,导致约400万美元资产遭受损失.

1900/1/1 0:00:00
WOR:又一跨链项目Wormhole被盗,跨链真的是伪命题吗?-ODAILY_OLE

背景2月3日,正当我们在开心过年的时候,Crypto行业却再次发生了天价黑客攻击事件,跨链协议Wormhole遭到黑客攻击,损失高达12万枚wETH.

1900/1/1 0:00:00
COIN:DAOrayaki:二次方融资与有效利他主义-ODAILY_ITCO

摘要这篇文章,主要探讨了有效利他主义和web3.0的交集以及对GitcoinGrants2.0的扩展建议,希望将GitcoinGrants越来越多地引导到最有效的事业上.

1900/1/1 0:00:00
NFT:JZL Capital:区块链行业周报第21期-ODAILY_Easter Floki

本周摘要:-V神参加了上海ETHWeb3.0开发者峰会,并就即将发生的TheMerge做了全面的演讲.

1900/1/1 0:00:00