前言
北京时间2022年4月15日,知道创宇区块链安全实验室监测到DeFi协议RikkeiFinance遭到黑客攻击,被盗资金中已有2600枚BNB被转入TornadoCash。
分析
攻击事件如下图所示:
基础信息
攻击合约:
0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f
0x9ae92cb9a3ca241d76641d73b57c78f1bcf0b209
MetaStar Strikers项目Discord服务器已被入侵:金色财经消息,据CertiK监测,MetaStar Strikers项目Discord服务器已被入侵,有黑客发布钓鱼链接。在团队确认已重获对服务器的控制之前,请勿点击任何链接。[2023/5/23 15:20:45]
攻击者地址:
0x803e0930357ba577dc414b552402f71656c093ab
恶意预言机地址:
0xa36f6f78b2170a29359c74cefcb8751e452116f9
0x99423d4dfce26c7228238aa17982fd7719fb6d7f
攻击tx:
0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492
DapperLabs将于1月23日与UFC合作推出UFCStrikeNFT平台:1月20日消息,DapperLabs宣布与UltimateFightingChampionship(终极格斗冠军赛,简称UFC)达成合作,将于1月23日推出UFCStrikeNFT收藏品平台。与此同时,DapperLabs与美国国家橄榄球联盟(NFL)合作推出的NFLAllDay平台将在当前NFL赛季结束时公开发布,目前正处于内测阶段。(Decrypt)[2022/1/21 9:02:51]
0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44
被攻击预言机地址:
0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5
流程
非洲在线旅游运营商MoAfrika支持比特币付款:非洲在线旅游运营商MoAfrika现在支持比特币付款,游客可以利用比特币支付度假费用。(Bitcoin.com)[2020/10/30 11:14:47]
攻击者的攻击流程如下:
1.攻击者调用external可见性的setOracleData()函数将预言机设置为自己的恶意预言机。
2.由于恶意预言机替换了原来的预言机,导致预言机输出的rTokens价格可以被攻击任意操控。攻击者向RBinance合约发送0.0001BNB获得4995533044307110.024rBNB。
3.由于兑换了大量的rBNB,所以攻击者借出346199.781USDC。
声音 | CrowdStrike智能副总裁:新加坡需注意围绕加密货币及区块链的网络威胁:据亚洲新闻网,新加坡金融管理局已经发布了关于ICO产品的预先咨询意见。然而这美国网络安全公司CrowdStrike的智能副总裁Adam Meyers表示,虽然新加坡被视为“有利于”加密技术,但该国需要注意围绕在加密货币和区块链周围的的网络威胁。Meyers称,新加坡的不同立场使得人们对加密货币表现出开放的态度,但也使该国容易被网络犯罪分子盯上。[2018/6/28]
4.攻击者将借出的346199.781USDC兑换成776.298WBNB。
5.攻击者重复第三步和第四步操作分别借出3.033BTCB、52275.873DAI、297082.798BSC-USD、299822.459BUSD并兑换成相应的WBNB。
6.将兑换的共2571.201BNB转移到攻击者账户上。
7.最后攻击者再次调用setOracleData()还原预言机状态。
另外一次攻击的手法相同,只是先将BNB兑换成BUSD再转去RBinance获得rBUSD。
细节
问题点就在于Cointroller中的SimplePriceOracle.sol(https://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code)合约,其setOracleData的可见性为external,可以被外部调用。
修改预言机前的正常价格为416247538680000000000。
将rToken0x1578的预言机修改为恶意预言机0xa36f。
设置恶意预言机后将rToken价格提升到416881147930000000000000000000000。
后续处理
攻击者将盗取的BNB分批次转入TornadoCash中。
RikkeiFinance官方称将全额补偿漏洞利用攻击中受影响的所有用户。
总结
由于合约没有对setOracleData函数的可见性进行限制,导致了攻击者可以任意修改预言机地址,从而获取了从合约中代币,所以我们在写合约时一定要严格限制函数的可见性。
1.前言北京时间2022年03月13日,知道创宇区块链安全实验室监测到BSC上Paraluni项目遭到攻击,黑客获利约170万美金。知道创宇区块链安全实验室将对本次事件深入跟踪并进行分析.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品波卡一周观察,是我们针对波卡整个生态在上一周所发生的事情的一个梳理,同时也会以白话的形式分享一些我们对这些事件的观察.
1900/1/1 0:00:00自从Facebook更名为Meta后,关于元宇宙的讨论愈发激烈,这一词汇也越来越多的出现在我们的视野里。这是一个非常有趣的话题.
1900/1/1 0:00:00MinterestLBP通证活动如何参加开创性借贷协议Minterest由行业领导者创建,通过为用户提供最高的DeFi的长期收益率旨在为数十亿TVL提供服务,挑战现有DeFi项目.
1900/1/1 0:00:00瑞士卢加诺,2022年3月3日–Tether是支持区块链技术的科技公司,驱动着市值最大的稳定币(USD?),今天宣布与充满活力的瑞士城市卢加诺合作.
1900/1/1 0:00:00区块链的“互操性”可能是解释元宇宙游戏中宏观经济学原理的关键,也是让元宇宙游戏保持“可玩性”乐趣的关键.
1900/1/1 0:00:00
月亮链