權限問題：Crosswise被黑事件分析_STE

Author：

Time：1900/1/1 0:00:00

此次攻擊導致協議損失87.9萬美元

近日，BSC上Crosswise遭遇黑客攻擊,此次攻擊導致協議損失87.9萬美元。攻擊者僅用1個CRSStoken便獲取CrosswiseMasterChef池中價值87.9萬美元的692K個CRSS

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

事件分析

攻擊過程如下：

AndrewKang今日增持150萬枚ARB，持倉平均成本為1.237美元:金色財經報道，據0xScope Protocol監測數據顯示，加密貨幣風險投資公司Mechanism Capital聯合創始人兼合伙人Andrew Kang以1.227美元的均價再次買入150萬枚ARB，目前其共持有230萬枚ARB，平均成本為1.237美元。此外他還有5125枚ARB空投尚未申領。[2023/4/6 13:47:49]

修改owner

美國SEC：Sparkster必須向受害者支付超3500萬美元和解金:9月20日消息，據官方公告，美國證券交易委員會（SEC）命令加密公司Sparkster及其首席執行官Sajjad Daya就“未注冊的加密資產發行”向受害投資者支付超過3500萬美元的和解金，并要求采取額外措施保護投資者，包括禁用代幣以防止其未來出售。Sparkster同意銷毀其剩余的代幣，要求從交易平臺上移除其代幣，并在其網站和社交媒體渠道上發布SEC的命令。

SEC表示，Sparkster于2018年提供”SPRK代幣“的加密資產證券，并從4000名投資者籌集了3000萬美元。SEC的命令認定Sparkster和Daya違反了1933年證券法的發行登記規定。關于此案，美國證券交易委員會還指控加密投資者和YouTuber Ian Balina參與推廣。

此前報道，美國SEC已指控Ian Balina推廣未注冊的加密代幣SPRK。[2022/9/20 7:07:20]

首先設置trustedFowarder，然后通過transferOwnership函數修改owner。該過程中，自定義的_msgSender()函數存在漏洞。trustedForwarder的修改缺少權限限制，導致_msgSender函數的判斷可以通過修改trustedForwarder變量來影響其結果，最終使得owner可以被其他用戶修改。

數據：以太坊全網算力跌至781.09TH/s，過去24小時跌幅為10.94%:9月15日消息，據2Miners數據顯示，今晨起以太坊全網算力出現下跌，目前跌至781.09TH/s，過去24小時跌幅為10.94%。[2022/9/15 6:57:25]

由于上一步攻擊者修改了owner，即獲取了owner權限，因此，攻擊者調用了set函數設置了MasterChef合約中的0號礦池的策略。

ApeCoin資助BAYC新聞網站的提案獲得社區批準:7月28日消息，ApeCoin 資助 24 小時 BAYC 新聞網站“Bored Ape Gazette”的提案（AIP-70）獲得社區批準，第一年更新和運營 Bored Ape Gazette 網站的總成本預計為 150,000 美元。ApeCoin 基金會現在將根據 DAO 治理協議實施該提案。Bored Ape Gazette 將重點關注 Yuga Labs 的所有項目，同時包括 NFT 市場數據。該網站還將包括 ApeCoin 價格圖表、監控治理投票的 DAO 跟蹤器、APE 日歷和顯示所有 Yuga Labs 項目活動的實時銷售代碼。[2022/7/29 2:44:31]