Web3 安全事件一周盤點。

作者:慢霧安全團隊

概覽

據慢霧區塊鏈被黑檔案庫(https://hacked.slowmist.io)統計,2023 年 7 月 10 日至 16 日,共發生安全事件 5 起,包括 Arcadia Finance、Rodeo Finance、LibertiVault、Klever 和 Platypus,總損失約 265.5 萬美元,攻擊手法涉及操縱預言機價格、重入攻擊等。

具體事件

Arcadia Finance

2023 年 7 月 10 日,Arcadia Finance 在 Ethereum 和 Optimism 上遭遇攻擊,損失約 45.5 萬美元。 攻擊者利用合約代碼缺乏無信任的輸入驗證,先將函數 vaultManagementAction 中所有資產轉移到自己控制的合約,然後重新進入函數 liquidateVault 清算金庫。 這種情況下,全域變數 isTrustedCreditorSet 被設置為 false,並且可以繞過抵押品檢查。 目前攻擊者已將 179.3 枚 ETH 全部轉轉移至 Tornado Cash。

Rodeo Finance

2023 年 7 月 11 日,Arbitrum 生態槓桿收益協定 Rodeo Finance 疑遭攻擊。 攻擊者操縱預言機價格獲利 810.1 枚 ETH,約 170 萬美元。 目前約 81.6 萬美元以 unshETH 形式收回,專案方凈損失約 88 萬美元。

由於區塊鏈是一個獨立的生態系統,我們沒有很直接的方法能夠讀取到外部數據,這也就是預言機的意義所在——向區塊鏈提供資訊。 例如,可以簡單地從價格 API 或交易平臺獲取現有的鏈下價格數據並帶到鏈上,也可以通過查詢鏈上交易平臺來計算實時價格。 操縱預言機常常和閃電貸結合:攻擊者向上調整借入代幣價格(或向下調整抵押品價格),最後通過價格清算抵押品,攻擊者可以利用閃電貸來操縱 AMM 的價格並獲利。

LibertiVault

2023 年 7 月 11 日,以太坊上的 LibertiVault 遭到攻击,其在 Polygon 上损失约 123 枚 ETH 和 56,234 枚 USDT,价值约 29 万美元;在以太坊上损失 35 枚 ETH 和 96,223 枚 USDT,价值约 16 万美元。总损失超 45 万美元。此次攻击的原理是攻击者利用 LibertiVault 合约中的重入漏洞,反复调用存款函数,操纵合约余额,并根据错误的余额计算来铸造代币。

根据我们之前发布的智能合约安全审计入门篇 —— 重入漏洞中的说明,以太坊智能合约的特点之一是合约之间可以互相进行外部调用,这也导致攻击者可以利用合约漏洞(如 fallback 函数)循环调用合约,将合约中资产转走或铸造大量代币。重入攻击也是智能合约中最常见的一种攻击,目前主要有两种办法来预防可能的重入攻击漏洞:遵循编码规范 (Checks-Effects-Interactions) 和加上防重入锁。

Platypus

2023 年 7 月 12 日,Avalanche 项目 Platypus 再次遭到攻击。据慢雾分析,由于 CoverageRatio 在兑换代币时没有考虑两个池之间的价格差异,导致用户可以通过存入 USDC 然后提取更多 USDT 进行套利。攻击者通过这种方式套利约 50,000 USDC。

早在今年 2 月 17 日,Platypus 就在 AAVE 上遭遇了闪电贷攻击,该攻击导致总价值约 900 万美元的资产损失。幸运的是,在安全公司的帮助下,至少已有 240 万美元资金被追回。

Klever

2023 年 7 月 12 日,Klever 發佈有關外部安全事件的報告,稱受影響的錢包都受到了已知的低熵助記詞漏洞影響。 這個被稱為隨機生成的演算法,是由 Bip39 實現的,以前被許多加密貨幣錢包供應商使用。 熵產生是一個複雜的概念,它挑戰了科學家對可重複性的偏好以及通過因果原理解釋現象的能力。 Klever 建議之前創建的舊錢包,立即遷移到在 Klever 錢包 K5 或 Klever Safe 上創建的新錢包。 需要強調的是,這個問題並不是 Klever 獨有的,報告表明多個錢包供應商的使用者均受到影響。

總結

本周安全事件的攻擊物件多為 DeFi 專案。 DeFi 專案通常使用智慧合約來執行各種金融功能,包括存款、借貸和交易等,駭客可能通過攻擊智慧合約漏洞竊取用戶資金或操縱合約。

慢霧安全團隊建議 DeFi 專案方始終保持警惕並定期進行安全審計,跟蹤和解決新的安全威脅和漏洞,最大程度地保護專案和資產安全。 同時,用戶參與 DeFi 專案時也應注意投資風險,優化資金配置組合,以降低單個專案風險對資產的影響。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。