ZAP:Brahma TopGear (brahTOPG) 项目存在外部调用风险，请迅速取消授权_PlanetWatch

据慢雾安全团队监测，ETH链上的brahTOPG项目遭到攻击，攻击者获利约89,879美元。慢雾安全团队以简讯形式分享如下：

1.攻击者首先查询了受害用户0x392472的余额，接着调用了Zapper合约的zapIn函数。

Web3游戏网络Planetarium Labs完成3200万美元A轮融资，Animoca Brands领投:7月7日消息，Web3游戏网络Planetarium Labs宣布完成3200万美元A轮融资，本轮融资由Animoca Brands领投，Samsung Next、Krust Universe、Kakao、WeMade等参投。Planetarium Labs游戏系统基于Libplanet开发，其联合创始人兼首席执行官Kijun Seo表示，Planetarium Labs支持游戏运行其特定的区块链网络，并可以自由设计其治理模式和Token经济学。[2022/7/7 1:56:41]

2.首先函数会为合约转账requiredToken参数所指定的代币，由于该函数传入的参数是外部可控的，所以攻击者恶意构造了该参数使得requiredToken为假代币并将假代币转给Zapper合约。

声音 | 万睿诚：Libra的出现直接打破了传统投资边界:6月24日讯，今日，在“火讯Facebook Libra周”线上沙龙上，IntelliShare联合创始人、美国注册管理会计师CMA 万睿诚表示，从股权融资、债权融资、并购的角度上来看，Libra的出现直接打破了传统投资边界（当然，各种政府的合法合规，以及政策监管是前提）。传统跨国的投资巨头对新兴产业做投资，往往注重本地企业标的，传统法币的国家界定性决定了其投资的相对局限性，当然不包括已经发展成型具有相当规模的投资企业，相对于体量较小的投资机构，因为资金的流通不变，其往往的投资局限于本地，因为相对投资其他地区，例如中国 日本等，相应的投资成本会增加，这不只包括对国外公司投资的税务及汇率，还包括各种跨国见的转账成本。当这个Facebook的libra发布之后，币安等传统区块链机构强调了几个观点，从投行角度来看，其中的两个核心点即：提供新型金融服务，促进更自由的金钱流通解除全球资本限制最为重要。[2019/6/24]

3.接着会调用内部函数zap，在该函数中首先会检查合约中假代币的余额是否大于或等于传入的值，由于第二步的操作所以通过了该检查。

声音 | 眼镜蛇Cobra：比特币现金需要新的领导和目标 否则价值将归零:眼镜蛇Cobra发推表示，比特币现金已经死了,它需要新的领导和方向/目标，否则在几年内价值将为0。[2019/1/19]

4.之后会外部调用假代币合约的approve函数，该函数为攻击者恶意构造，是为了给Zapper合约转账frax代币，此操作是为了通过后续合约中对frax代币余额的检查并且能成功给金库存款。

5.最后外部调用了swapTarget参数所指定的合约，并且调用所传入参数也是外部可构造的，所以攻击者利用此处任意外部调用漏洞转走了其他有授权的用户的USDC代币。

6.攻击者重复以上步骤，总共攻击了三次，转移了三个受害者账户下的USDC代币约889,343枚。

此次攻击的主要原因在于Zapper合约为对用户传入的数据进行严格检查，导致了任意外部调用的问题，攻击者利用此任意外部调用问题窃取了对合约仍有授权的用户的代币。

慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗的风险。

标签：ZAPAPPPLANPLANETZapper币imToken手机appProplandPlanetWatch

狗狗币热门资讯