Brahma TopGear (brahTOPG) 項目存在外部調用風險，請迅速取消授權_ACE

據慢霧安全團隊監測，ETH鏈上的brahTOPG項目遭到攻擊，攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先查詢了受害用戶0x392472的余額，接著調用了Zapper合約的zapIn函數。

Facebook將Calibra數字錢包更名為Novi，將作為獨立應用程序運行:Facebook將Calibra數字錢包更名為Novi。Novi來源于拉丁詞根“novus”和“via”，含義是“新的方式”。Novi的視覺形象和設計代表“數字貨幣的流動”，Logo中加入了Libra圖標元素。Novi數字錢包將作為一個獨立的應用程序運行，并提供與Facebook的社交消息應用程序Messenger和WhatsApp的互操作性。雖然不確定Libra的發布時間，該公司表示希望在Libra網絡向用戶開放時，推出早期版本的Novi。該項目的錢包和未來的金融服務現在將由新實體NoviFinancial運營，NoviFinancial是Facebook子公司，該子公司將獨立于Facebook在加州門羅公園的總部運營。（CoinDesk）[2020/5/27]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣，由于該函數傳入的參數是外部可控的，所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

金色晨訊 | Libra將由美元、歐元、日元、英鎊和新加坡元支持:1.Facebook：Libra將由美元、歐元、日元、英鎊和新加坡元支持。

2.微眾銀行上線依托區塊鏈等金融科技的企業愛普APP。

3.紐約梅隆銀行為Bakkt Warehouse提供地理分布式的客戶資產存儲。

4.美國SEC主席：離比特幣ETF更近了，托管是主要問題。

5.Tether推出與離岸人民幣錨定的穩定幣CNHT。

6.Bakkt：Bakkt Warehouse期貨交易很活躍，托管的比特幣有1.25億美元的保單保護。

7.LG可能很快推出區塊鏈手機。

8.央行數研所所長穆長春：央行數字貨幣可在離線狀態下收付款，渠道和應用場景沒有變，不會影響微信、支付寶。

9.美聯儲鮑威爾：美聯儲正在關注數字貨幣，但并未積極考慮它。[2019/9/10]

3.接著會調用內部函數zap，在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值，由于第二步的操作所以通過了該檢查。

聲音 | 前ETC開發團隊成員：Facebook缺乏通過CAC為Libra獲取用戶的經驗:前ETC開發團隊成員Donald McIntyre就Facebook的Libra發表評論稱，決定金融科技企業成敗的關鍵財務因素之一為客戶購置成本（Customer Acquisition Cost，簡稱ACA）。數據顯示，金融、銀行/保險和科技行業的對于每位客戶的CAC價值高達200至400美元不等。這對于以加密貨幣為基礎的公司來說是非常高的，其在發展途中還在處理其他復雜問題。 McIntyre稱，摩根大通、富達、富國銀行等金融行業巨頭，以及E-Trade和PayPal等科技品牌也不得不通過高昂的CAC價值來獲得穩定的用戶基礎。Facebook當然也不例外。McIntyre指出，除了CAC價值問題，Facebook是一個社交媒體平臺，幾乎沒有任何通過財務外部獲取客戶的經驗，這使得其在數字資產領域將成為一個無力的競爭對手。（AMBcrypto）[2019/7/20]

4.之后會外部調用假代幣合約的approve函數，該函數為攻擊者惡意構造，是為了給Zapper合約轉賬frax代幣，此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約，并且調用所傳入參數也是外部可構造的，所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟，總共攻擊了三次，轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題，攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags：ACEFACEBOOCEBSafeSpace Protocolfacedao幣怎么樣QuantbookCEBC

幣安app官方下載最新版