FOR:恶意初始化：Punk Protocol被黑事件分析_FORGE

8月10日，去中心化年金协议?PunkProtocol遭到攻击，损失890万美元，后来团队又找回了495万美元。

SharkTeam第一时间对此事件进行了攻击分析和技术分析，攻击原因在于投资策略中找到了一个关键漏洞：CompoundModel代码中缺少初始化函数的修饰符的问题，可以被重复初始化。希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

一、事件分析

黑客1的两笔攻击交易：

0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281

Github遭大规模恶意软件攻击，超3.5万个代码库受影响:8月3日消息，软件工程师 Stephen Lacy 在推特上表示，其发现 Github 正在遭受大规模恶意软件攻击，超 3.5 万个代码库受影响，波及范围涵盖Crypto、Golang、Pyhon、js、bash、Docker和k8s等领域。该恶意软件被发现添加到npm脚本、Docker图像和安装文档中。Stephen Lacy提醒，此攻击可能会将被攻击者的多种密钥泄露给攻击者，并建议用户使用GPG签署所有提交。[2022/8/3 2:56:06]

0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa

报告：一些非洲国家面临的恶意加密矿工威胁仍很普遍:9月2日消息， 根据网络安全公司卡巴斯基近期发布的一份报告，在一些非洲国家，恶意加密矿工的威胁仍然很普遍。报告指出，目前在南非，2021年上半年被恶意加密矿工锁定的用户比例为0.60%。在肯尼亚，被锁定的所有用户比例为0.85%，在尼日利亚，这一数字为0.71%。

此前消息，卡巴斯基表示，自2021年初以来，该公司发现了超过1500个欺诈性的网站，这些网站的目标是对加密货币挖矿感兴趣的潜在加密投资者或用户。在此期间，该公司阻止了超过7万名用户试图访问这些网站。（The Guardian）[2021/9/2 22:54:31]

黑客2的两笔攻击交易

0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b

0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1

印度网络用户遭受加密采矿恶意软件攻击的比率比全球平均水平高4.6倍:根据微软最新发布的《 2019年安全端点威胁报告》，印度的网络用户遭受加密采矿恶意软件攻击的比率比全球平均水平高4.6倍。印度是亚太地区第二大遭受加密恶意攻击的国家，仅次于斯里兰卡。（Cointelegraph）[2020/7/29]

黑客2的攻击合约地址：

0x00000000b2ff98680adaf8a3e382176bbfc34c8f

黑客2的地址：

0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a

0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c

黑客2退回的两笔交易地址：

0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198

0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce

动态 | “Save Yourself”恶意软件可秘密挖掘Monero:Reason的网络安全研究人员发现，自去年以来一直困扰着互联网的“Save Yourself”恶意软件除了会感染计算机、发送威胁将泄露视频的电子邮件并勒索比特币之外，还会秘密地挖掘以隐私为中心的加密货币Monero，所产生的所有资金都直接流入了攻击者手中。研究人员表示，具有讽刺意味的是，许多提供产品来删除该恶意软件的网站实际上都是在兜售恶意软件。此外，该恶意软件仅使用受感染计算机50％的CPU来挖掘Monero，以免引起怀疑。（thenextweb）[2019/10/15]

动态 | 安全公司：恶意软件Shellbot出现新变种挖掘加密货币:据TechCrunch消息，安全公司Threat Stack近期发现，Shellbot恶意软件出现新变种，可通过网络传播，并关闭受感染计算机上的其他加密软件，从而使恶意软件释放出更多的处理能力，用于自己的加密操作。该研究称，此次行动的主要目标似乎是通过加密和在互联网上传播到其他系统来获取金钱收益。此前消息，美国网络安全公司JASK于2月5日发表一项研究报告称，恶意软件劫持大型企业设备挖掘门罗币并针对Linux用户。[2019/5/1]

下面以黑客1正式攻击交易为例

黑客的攻击执行了delegateCall，将攻击者的合约地址写入到compoundModel中initialize函的forge_参数。setForge(address)函数在初始化函数中执行。这是一个修改Forge地址的功能。

然后，它执行withdrawToForge函数并将所有资金发送到攻击者的合约。

随后在调用initialize函数发现forge_参数已经被替换成攻击者合约的地址。

链接到forge_的所有CompoundModel都使用相同的代码，因此所有资产都转移到攻击者的合约中。目前，导致黑客入侵的代码已被项目方修补。添加了两个Modifiers，这样只有ContractCreator可以调用Initialize函数并控制它只被调用一次。

二、安全建议

本次攻击的根本原因在于CompoundModel合约中缺少对初始化函数的安全控制，可以被重复初始化。初始化函数应只能调用一次，而且需要进行调用者权限鉴别；如果合约是使用初始化函数，而不是在构造函数中进行初始化，则应使用安全合约库中的初始化器来进行初始化。避免合约被恶意操纵，造成合约关键参数和逻辑的错误。

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。而作为项目方，智能合约安全关系用户的财产安全，至关重要！区块链项目开发者应与专业的安全审计公司合作，进行多轮审计，避免合约中的状态和计算错误，为用户的数字资产安全和项目本身安全提供保障。

标签：FORORGFORGEMODFORTHorganicchainFORGE价格MODS

Coinw热门资讯