2020年6月30日下午5:46,Beosin-OSINT威胁情报系统发现
VETH智能合约
遭受攻击,被盗919299个VETH。成都链安·安全实验室第一时间对本次事件进行跟踪分析。
?
根据链上交易显示:
攻击者利用自建合约
通过Uniswap将0.9ETH兑换为138VETH,之后对VETH智能合约
发起攻击,在攻击完成后自建合约进行自我销毁。
本次攻击成本仅0.9ETH,约合200美元。交易
详情如下:
ETH 2.0总质押数已达2550.14万:金色财经报道,数据显示,ETH 2.0总质押数达到2550.14万,为25501411个,按当前市场价格,价值约473.11亿美元。此外,目前ETH 2.0质押总地址数已超84.36万,为843588个。[2023/7/9 22:27:06]
△图1
在盗币成功之后,攻击者将盗取的VETH通过Uniswap换成了16ETH。如下图所示:
DoraHacks将出席卢森堡太空资源周,讨论小行星采矿等问题:2月27日消息,DoraHacks成为今年由欧洲太空资源创新中心、欧洲航天局、卢森堡宇航局、卢森堡理工大学举办的太空资源周合作伙伴。DoraHacks团队将出席会议并讨论小行星采矿等问题。其他合作伙伴包括英国宇航局、日本火箭制造商ispace。[2023/2/27 12:31:45]
△图2
?具体攻击流程如下:
1.攻击者创建攻击合约,通过Uniswap将0.9ETH兑换成138VETH;
2.调用VETH合约changeExcluded函数,支付128VETH手续费,使mapAddress_Excluded的值为true;
新韩投资证券将着手组建与STO相关的民间协议团体:金色财经报道,据Yonhap Infomax报道,新韩投资证券最早将于下周着手组建与证券型代币(STO)相关的民间协议团体,名称或为STO联盟,将涵盖与STO业务直接或间接相关的公司作为成员公司,旨在与当局进行协调沟通。[2023/2/2 11:42:40]
3.调用transferFrom函数,因mapAddress_Excluded的值为true,可以直接进行转账;
4.攻击完成后,攻击者通过Uniswap将盗取的VETH兑换成16ETH。
漏洞原理分析
此漏洞产生的主要原因是changeExcluded函数修饰符为external,使得任何人都可以调用该函数来绕过transferFrom函数内部的授权转账额度检查,将合约的VETH代币盗走。
美股涨幅扩大,标普500指数涨1.6%:行情显示,美股涨幅扩大,纳指涨超2%,道指涨近1.3%,标普500指数涨1.6%。[2022/6/16 4:30:17]
首先分析transferFrom函数,在函数内部先进行!mapAddress_Excluded的判断,按照正常逻辑,该结果为true后,将进行授权转账额度的检查。但是转账函数_transfer的调用放在if语句体外,这就导致攻击者可以通过将mapAddress_Excluded的值设置为true而绕过授权转账额度的检查,直接进行VETH代币转移。transferFrom函数源码如下图所示:
△图3
通过分析修改mapAddress_Excluded值的代码发现,在changeExcluded函数内实现了对其值的修改,且该函数修饰符为external,可供外部调用。changeExcluded函数源码如下图所示:
△图4
在未对该值进行设置时,mapAddress_Excluded的初始值为false,最后if判断结果为true,进入if语句体,调用_transfer进行转账,要求支付转账金额为:mapEra_Emission/16即128VETH,然后mapAddress_Excluded的值被设置为true。emission的值如下如所示:
△图5
总结
此次VETH被盗事件,漏洞出自VETH合约而非Uniswap,VETH合约代码的函数访问修饰符的错误使用导致任何人都能绕过授权转账额度的检查,以极低的成本发起攻击。
成都链安·安全实验室在此提醒:各大智能合约运营商,在合约正式部署上线前应做好充分的代码审计工作,即使是一些简单的代码错误也会财产损失。
来源:加密谷Live,作者:TonyToro,翻译:Liam周一的时候,沪综指出现了五年来最大幅度的单日上涨。收盘上涨5.7%,为2015年上一轮牛市以来的最大涨幅.
1900/1/1 0:00:00Overview概述ETH2.0作为以太坊网络的重大升级,不仅共识协议由之前的PoW转换为PoS,并且还有一个重大的改变,那就是ETH的全网通胀率.
1900/1/1 0:00:007月5日,由杭州市余杭区政府指导,杭州未来科技城管委会、巴比特主办的“2020杭州区块链国际周”正式开幕.
1900/1/1 0:00:00怀揣着无比激动的心情,我们要宣布一则新消息:以COMP代币为标的资产的七日二元期权上线啦! 二元期权很好理解,而且容易上手,因此对于那些想要投机资产未来价格的用户来说,是非常好的金融产品.
1900/1/1 0:00:00社交是人的一种基本属性,社交数据也是人的一种数据资产,部分应用通过用户的积累以及用户的好友关系实现对用户个人社交网络的数据获取,而所形成的这些社交数据按理来说是用户使用系统产生的个人数据.
1900/1/1 0:00:00尽管比特币持续横盘,但这一领先加密货币的哈希率却越来越高。 图片来源:visualhuntCoinCorner的马特?沃德指出,数据显示,比特币全网算力在7月13日刚刚创下历史新高,达到了147.
1900/1/1 0:00:00