Web3 安全事件一周盘点。

作者:慢雾安全团队

概览

据慢雾区块链被黑档案库 (https://hacked.slowmist.io) 统计,2023 年 7 月 10 日至 16 日,共发生安全事件 5 起,包括 Arcadia Finance、Rodeo Finance、LibertiVault、Klever 和 Platypus,总损失约 265.5 万美元,攻击手法涉及操纵预言机价格、重入攻击等。

具体事件

Arcadia Finance

2023 年 7 月 10 日,Arcadia Finance 在 Ethereum 和 Optimism 上遭遇攻击,损失约 45.5 万美元。攻击者利用合约代码缺乏无信任的输入验证,先将函数 vaultManagementAction 中所有资产转移到自己控制的合约,然后重新进入函数 liquidateVault 清算金库。这种情况下,全局变量 isTrustedCreditorSet 被设置为 false,并且可以绕过抵押品检查。目前攻击者已将 179.3 枚 ETH 全部转转移至 Tornado Cash。

Rodeo Finance

2023 年 7 月 11 日,Arbitrum 生态杠杆收益协议 Rodeo Finance 疑遭攻击。攻击者操纵预言机价格获利 810.1 枚 ETH,约 170  万美元。目前约 81.6 万美元以 unshETH 形式收回,项目方净损失约 88 万美元。

由于区块链是一个独立的生态系统,我们没有很直接的方法能够读取到外部数据,这也就是预言机的意义所在——向区块链提供信息。 例如,可以简单地从价格 API 或交易平台获取现有的链下价格数据并带到链上,也可以通过查询链上交易平台来计算实时价格。操纵预言机常常和闪电贷结合:攻击者向上调整借入代币价格(或向下调整抵押品价格),最后通过价格清算抵押品,攻击者可以利用闪电贷来操纵 AMM 的价格并获利。

LibertiVault

2023 年 7 月 11 日,以太坊上的 LibertiVault 遭到攻击,其在 Polygon 上损失约 123 枚 ETH 和 56,234 枚 USDT,价值约 29 万美元;在以太坊上损失 35 枚 ETH 和 96,223 枚 USDT,价值约 16 万美元。总损失超 45 万美元。此次攻击的原理是攻击者利用 LibertiVault 合约中的重入漏洞,反复调用存款函数,操纵合约余额,并根据错误的余额计算来铸造代币。

根据我们之前发布的智能合约安全审计入门篇 —— 重入漏洞中的说明,以太坊智能合约的特点之一是合约之间可以互相进行外部调用,这也导致攻击者可以利用合约漏洞(如 fallback 函数)循环调用合约,将合约中资产转走或铸造大量代币。重入攻击也是智能合约中最常见的一种攻击,目前主要有两种办法来预防可能的重入攻击漏洞:遵循编码规范 (Checks-Effects-Interactions) 和加上防重入锁。

Platypus

2023 年 7 月 12 日,Avalanche 项目 Platypus 再次遭到攻击。据慢雾分析,由于 CoverageRatio 在兑换代币时没有考虑两个池之间的价格差异,导致用户可以通过存入 USDC 然后提取更多 USDT 进行套利。攻击者通过这种方式套利约 50,000 USDC。

早在今年 2 月 17 日,Platypus 就在 AAVE 上遭遇了闪电贷攻击,该攻击导致总价值约 900 万美元的资产损失。幸运的是,在安全公司的帮助下,至少已有 240 万美元资金被追回。

Klever

2023 年 7 月 12 日,Klever 发布有关外部安全事件的报告,称受影响的钱包都受到了已知的低熵助记词漏洞影响。这个被称为随机生成的算法,是由 Bip39 实现的,以前被许多加密货币钱包提供商使用。熵产生是一个复杂的概念,它挑战了科学家对可重复性的偏好以及通过因果原理解释现象的能力。 Klever 建议之前创建的旧钱包,立即迁移到在 Klever 钱包 K5 或 Klever Safe 上创建的新钱包。需要强调的是,这个问题并不是 Klever 独有的,报告表明多个钱包提供商的用户均受到影响。

总结

本周安全事件的攻击对象多为 DeFi 项目。DeFi 项目通常使用智能合约来执行各种金融功能,包括存款、借贷和交易等,黑客可能通过攻击智能合约漏洞窃取用户资金或操纵合约。

慢雾安全团队建议 DeFi 项目方始终保持警惕并定期进行安全审计,跟踪和解决新的安全威胁和漏洞,最大程度地保护项目和资产安全。同时,用户参与 DeFi 项目时也应注意投资风险,优化资金配置组合,以降低单个项目风险对资产的影响。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。