2024年7月23日,我们监控到一笔Ethereum链上攻击交易:https://etherscan.io/tx/0x491cf8b2a5753fdbf3096b42e0a16bc109b957dc112d6537b1ed306e483d0744
被攻击的项目为Spectra Protocol,Spectra协议是无需许可的,意味着其服务完全开放供公众使用。任何人都可以随意创建新的市场、交换收益衍生品或成为流动性提供者。此次攻击中,攻击者共获利188, 013asdCRV,折合73, 325USD。
首先,攻击者查询了asd CRV Token中,地址 0x279a7dbfae376427ffac52fcb0883147d42165ff对Spectra Protocol的授权额度与该地址的asd CRV余额。
接着,攻击者调用execute函数开始针对Spectra Protocol进行攻击,execute函数代码如下:
最终,输入数据会调用_dispatch,该函数的代码如下:
由上述代码我们可以看出,该代码根据_commandType来决定执行哪些操作,在此次攻击中,_commandType为0x12 ,所以command=0x12&0x3f=0x12,对应的值为KYBER_SWAP。
所以,攻击者调用代码段如下。我们可以看到,该代码的kyberRouter和targetData均可以被控制,意味着攻击者可以利用Spectra Protocol合约调用任意合约并传入任意参数。
我们将攻击者的inputs数据解析出来如下:
我们可以发现,kyberRouter已经被操纵为地址:
0x43e54c2e7b3e294de3a155785f52ab49d87b9922
tokenIn已经被操纵为地址:
0xeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
tokenOut被操纵为地址:
0xba8ce86147ded54c0879c9a954f9754a472704aa
我们可以看到Constants.ETH为:
0xEeeeeEeeeEeEeeEeEeEeeEEEeeeeEeeeeeeeEEeE
所以,代码进入到如下流程
其中,targetData经过解析如下:
由于,transferFrom的signature为0x23b872dd;所以,transferFrom对应的参数from为:
0x279a7dbfae376427ffac52fcb0883147d42165ff
to为:
0xba8ce86147ded54c0879c9a954f9754a472704aa
value为:
188,013,365,080,870,249,823,427
又因为,kyberRouter被控制为:
0x43e54c2e7b3e294de3a155785f52ab49d87b9922,即asdCRVToken。
所以,攻击者相当于操纵了Spectra Protocol从0x279a7dbfae376427ffac52fcb0883147d42165ff转了188,013,365,080,870,249,823,427asdCRV到地址0xba8ce86147ded54c0879c9a954f9754a472704aa(此地址为攻击者控制的地址)。
至此,攻击者完成攻击。
本次漏洞的成因是被攻击合约对攻击者传入参数校验不严格,导致攻击者可以通过构造特殊的inputData来使受害者合约调用任意合约并传入任意参数。最终,攻击者利用特殊的参数,使得受害者合约通过transferFrom将授权给其合约的代币转入到攻击者控制的地址。建议项目方在设计代码运行逻辑时要多方验证,合约上线前审计时尽量选择多个审计公司交叉审计。
ABX币是一种加密货币,它在数字货币市场中有着极高的知名度和广泛的使用。作为一种去中心化的数字货币,ABX币的存在不依赖于任何银行或政府机构。ABX币的流通和交易是通过区块链技术进行的,这使得其交易具有高度的匿名性和安全性。如果你对ABX币感兴趣并打算购买一些进行交易或投资,以下将介绍三个著名的交易所,它们分别是欧易交易所、币安交易所和火币交易所。欧易交易所是一个颇受欢迎的数字资产交易平台,以其可
FXC币是一种新型的数字货币,在不同的时间内,FXC币的价格波动也不尽相同。在过去的几年中,FXC币的价格一直在波动,而且一直在创造新的历史记录。下面我们具体来看一下FXC币的价格走势吧!2017年,FXC币的历史价格走势2017年是比特币价格飙涨的一年。从1月份到年底,比特币价格一路飙升,最终达到了约20000美元的历史高点。而FXC币也在那一年得以推出上市。一开始,FXC币的价格并不高,只有几
GEAR币的创始人是谁?GEAR币是一种全新的加密货币,在数字货币行业非常受欢迎。GEAR币是一种开源分布式账本技术,它采用了类似比特币的技术,运用轮廓特征、黑洞地址和防破解技术等许多特殊的加密技术,使得它的安全性可以保证。GEAR币的创始人是一位名叫李小象的人,他是一位拥有多年加密货币研究经验的高级程序员。李小象创立GEAR币的初衷是希望创造一种更稳定、更安全、更快速、更透明的货币,以满足现代化
ADAL币是一种基于区块链技术的加密数字货币,其主要目标是为了提供更高效和安全的交易方式。它基于区块链技术的特点,使得每一笔交易都能够被公开记录和验证,在保障用户隐私的同时,也确保了交易的可信度。对于想要购买或者出售ADAL币的用户来说,选择一个可信的交易所是至关重要的。下面将介绍三个著名的交易所,它们分别是欧易交易所、币安交易所和火必交易所。欧易交易所是全球知名的加密货币交易平台之一。它提供了多
FTP币曾飚升至历史最高价FTP币是一种基于区块链技术的数字货币,始于2017年,凭借着其技术优势和社群运营优势,已成功在数字货币市场站稳了脚跟,备受关注。这里我们要讲的是FTP币曾飚升至历史最高价的事情。2018年,是数字货币市场的大年,各类数字货币的价格处于波动的阶段,而FTP币也在这次大涨潮中坐上了快车道。时光来到2018年5月,FTP币的价格开始快速上涨,一路上涨了几天,到了5月31日,它
AENS币的介绍AENS币(Aeternity)是一个基于区块链技术的加密货币,其目标是为智能合约和去中心化应用提供一个高效且可扩展的平台。AENS币使用了一种名为“状态通道”的技术,使其能够在链上外执行大量交易,从而提高了处理速度和吞吐量。此外,AENS币还采用了“预言机”技术,通过与现实世界数据的连接,使链上的智能合约更加强大和有用。欧易交易所欧易交易所是一个知名的数字资产交易平台,提供了多个
GENS币的创始人是谁?GENS币是一种基于区块链技术的数字货币,它的创始人是一位叫做Dominic Williams的英国人。他毕业于牛津大学,拥有计算机科学博士学位,是区块链领域的专家。在创办GENS币之前,他曾经做过比特币和以太坊等其他加密货币的技术开发工作。Dominic Williams对于区块链技术非常热衷,他认为这项技术能够彻底改变现有的金融体系,并且带来更加公平和透明的经济结构。他
ACK币是一种数字货币,它是基于区块链技术发行的加密货币。ACK币具有分散的特点,没有中央银行或政府机构掌控其发行和管理。作为一种新兴的数字资产,ACK币在全球范围内逐渐受到了投资者的关注和认可。欧易交易所是一家知名的数字货币交易平台之一。作为亚洲最大的加密货币交易所之一,欧易交易所提供了多种数字货币的交易对。用户可以通过欧易交易所进行ACK币的交易,并可以参与其他数字资产的交易和投资。币安交易所
GOETH币最高的时候是多少钱?GOETH币是一个去中心化的数字货币,它是在Ethereum网络上运行的,是Ethereum区块链上的代币之一。GOETH币在不同时间段内的价格波动很大,有时价格上涨到了非常高的水平,也有时价格大幅下跌。那GOETH币的价格曾经达到过多高呢?在2017年末及2018年初的加密货币行业繁荣时期,因为市场情绪过热,很多数字货币的价格都达到了历史高点。 GOETH币也未能
10 ADAL币去哪里交易
ADAL币,全称为Ada币(Cardano),是由Cardano项目发行的一种加密数字货币。Cardano是一个开放源代码的区块链平台,其目标是提供更加安全、可持续且灵活的加密交易环境。作为Cardano项目的代币,ADA币旨在通过应用该平台的智能合约功能以及其他去中心化应用,为用户提供更多的使用场景和价值。以下是三个著名的ADAL币交易所:1. 欧易交易所(OkEx):欧易交易所是全球领先的数字
