以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

假幣的換臉戲法:技術拆解 THORChain 跨鏈系統“假充值”漏洞_ETH

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,2021 年 6 月 29 日,去中心化跨鏈交易協議 THORChain 發推稱發現一個針對 THORChain 的惡意攻擊,THORChain 節點已作出反應并進行隔離和防御。慢霧安全團隊第一時間介入分析,經分析發現,這是一起針對跨鏈系統的“假充值”攻擊,結果分享如下:

什么是“假充值”?

當我們在談論“假充值”攻擊時,我們通常談的是攻擊者利用公鏈的某些特性,繞過交易所的充值入賬程序,進行虛假充值,并真實入賬。

隨著 RenVM、THORChain 等跨鏈服務的興起,跨鏈節點充當起了交易所的角色,通過掃描另一條公鏈的資產轉移情況,在本地公鏈上生成資產映射。THORChain 正是通過這種機制,將以太坊上的代幣轉移到其它公鏈。

俄羅斯VTB銀行董事長:比特幣是假幣,數字貨幣出現不可避免:俄羅斯第二大銀行VTB董事長兼總裁Andrey Kostin表示,他不喜歡比特幣。他認為比特幣是假幣,并將加密挖礦技術比作中世紀罪犯偽造貨幣的方式。然而,他承認CBDC的推出是重要的,俄羅斯將很快開始數字盧布試驗。Kostin也承認世界正在走向數字化,數字貨幣的出現是不可避免的。然而,他堅持認為,這些應由央行控制。(U.Today)[2021/6/4 23:12:32]

漏洞分析

我們從業務邏輯入口去追蹤分析此漏洞的成因。

首先看到在處理跨鏈充值事件時,調用了 getAssetFromTokenAddress 方法去獲取代幣信息,并傳入了資產合約地址作為參數:

緊跟熱點 ERC20標準FIL假幣騙局再現:北京鏈安Chainsmap監測系統發現,隨著Filecoin主網上線成為近期投資熱點,以ERC20合約偽造“FIL”代幣的騙局也已經再度出現。這些所謂的FIL代幣甚至剛剛在兩天前創建,即開始以空投的方式向一些地址轉賬,同時已經以此代幣在Uniswap建立交易對池子,并有人參與交易。在此,我們提醒各位投資者在投資前,首先學習了解Filecoin技術和投資的常識,注意提防此類假幣騙局。[2020/10/16]

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go?

動態 | 警惕市場上各種假幣騙局 避免真幣兌換假幣:據CoinHunter.io監測,在過去一周內,仿冒知名代幣進行詐騙的行為依舊活躍。其中,僅火幣token(HT)的仿冒代幣就多達10個。CoinHunter在此提醒廣大交易者,切勿輕易相信陌生人提供的代幣地址,轉帳前應對代幣合約的名字(name)、縮寫(symbol)、交易活躍度、持有人數量等信息進行核對,以免受騙上當。

以下是部分仿冒火幣token的假幣地址:

0xf797472…;0x66eda29…;0xc50f43d…;0xb4a3d3b…;

0x34bc412…;0x223fe58…;0xb0bf377…;0xaae0d7d…;

0x31e02d2…;0xC671D15…;[2019/7/15]

在 getAssetFromTokenAddress 方法里,我們看到它調用了 getTokenMeta 去獲取代幣元數據,此時也傳入了資產合約地址作為參數,但在此處有一個定義引起我們的警覺,在初始化代幣時,默認賦予了代幣符號為 ETH,這就是漏洞的關鍵點之一:asset := common.ETHAsset,如果傳入合約地址對應的代幣符號為 ETH,那么此處關于 symbol 的驗證將被繞過。

聲音 | 何一:應警惕市場上各種假幣騙局:幣安聯合創始人何一剛剛發布微博稱,有網友稱某代幣的第二持有人是幣安地址,向何一詢問真實性。何一表示:“1、這個智能合約地址是假的,你們確實被騙了,注意警惕市場上的各種假幣騙局;2、官方聲明了幣安是唯一的合作方,這就是全部信息了。 ????”[2019/2/20]

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

繼續驗證我們的猜測,我們看到當代幣地址在系統中不存在時,會從以太坊主鏈上去獲取合約信息,并以獲取到的 symbol 構建出新的代幣,此時所有的漏洞成因都已經顯現:

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

- bifrost/pkg/chainclients/ethereum/tokens_db.go

- bifrost/pkg/chainclients/ethereum/ethereum_block_scanner.go

總結一下,首先是由于錯誤的定義,如果跨鏈充值的 ERC20 代幣符號為 ETH,那么將會出現邏輯錯誤,導致充值的代幣被識別為真正的以太幣 ETH。

還原攻擊真相

我們來看一筆攻擊交易的執行過程,可以提取出充值的代幣合約地址:

我們在 Etherscan 上查看這個代幣合約地址:

發現這個地址對應的合約的代幣符號正是 ETH,攻擊者正是通過部署了假幣合約,完成了這次跨鏈假充值。

漏洞修復

漏洞補丁:

項目方在發現攻擊后快速對代碼進行了修復,刪除了默認的代幣類型,使用 common.EmptyAsset 進行空代幣定義,并在后續邏輯中使用 asset.IsEmpty() 進行判斷,過濾了沒有進行賦值的假充值代幣。

總結

幸運的是項目方及時發現了本次攻擊,未造成巨額財產損失,但作為跨鏈系統,未來可能聚集巨額的多鏈資金,安全性不容忽視,因此慢霧安全團隊建議在進行跨鏈系統設計時應充分考慮不同公鏈不同代幣的特性,充分進行“假充值”測試,做好狀態監控和預警,必要時可聯系專業安全公司進行安全審計。

Tags:ETHAINCHAHAItogetherbnb全劇情圖文攻略RAIN幣CHART幣ideologychain

抹茶交易所
灰度GBTC解鎖會沖擊市場嗎?_BTC

(圖片來源于網絡) 最近DeFi和NFT板塊忽然熱了起來,頗有點先聲奪人的意味。遙想當年,2020年三季度,亦是DeFi領銜,熱了一波之后,至10月BTC開啟牛市征程.

1900/1/1 0:00:00
Kusama “Parachain” 分析報告 (四)_KUS

風物長宜放眼量。 生也有涯而知無涯,但學習永不止步。BML秉著“快學習,慢賺錢”的態度,帶領社群朋友們一起學習項目,逐漸形成對生態框架認知.

1900/1/1 0:00:00
央行:“穩定幣”已成投機工具 要大力推進央行數字貨幣_數字貨幣

中國人民銀行副行長范一飛表示,各種所謂的“穩定幣”已經成為投機性工具,也存在威脅金融安全和社會穩定的潛在風險,成為一些洗錢和非法經濟活動的支付工具.

1900/1/1 0:00:00
去中心化自治組織(DAO)行業發展月報(2021.6)_NBS

 Aragon推出Vocdoni--傳統組織的去中心化治理平臺。Aragon OpenStack的第一個實例——Aragon Voice——現在已經在以太坊主網上上線.

1900/1/1 0:00:00
影響力即財富 a16z的崛起給予我們的啟示_比特幣

6月24日,隨著安德森·霍洛維茨(Andreessen Horowitz,又稱a16z)宣布推出規模超過22億美元的第三支加密資產投資基金Crypto Fund III.

1900/1/1 0:00:00
晚間必讀5篇 | 礦工收入為何能4天漲50%?_比特幣

1.從DeFi到游戲:最熱門的幾個去中心化應用程序本文精選最受歡迎的dapp?。點擊閱讀2.比特幣難度暴跌 但礦工收入為何能4天漲50%?數據顯示,在網絡出現有史以來最大難度下調之后,比特幣礦工.

1900/1/1 0:00:00
ads