http://www.7klian.com

是后门,照旧大意?Furucombo遭黑客进攻事件阐明|零时科技

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

事件配景

Furucombo推出于2020年3月份,支持Uniswap生意业务,Compound供给成果,还提供闪电贷的用户界面,使得普通用户也可以利用闪电贷计策。

零时科技区块链安详情报平台监控到动静,北京时间2021年2月28日早7时,Furucombo官方发推称Furucombo署理遭到进攻者进攻,1500万美元受到影响,并说明打消相关组件授权,受到进攻的合约地点

0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5,随后零时科技安详团队立即对该安详事件举办复盘阐明。

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

事件阐明

通过劈头阐明,可以获得进攻者的钱包地点为

0xb624E2b10b84a41687caeC94BDd484E48d76B212,今朝该地点已被etherscan标志为Furucombo Hacker。

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

该进攻者合约地点除了建设合约生意业务,其余只有一笔生意业务

0x6a14869266a1dcf3f51b102f44b7af7d0a56f1766e5b1908ac80a6a23dbaf449

查察该笔生意业务的状态会发明,存储地点

0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc

今朝写入的内容为进攻者合约地点

0x86765dde9304bEa32f65330d266155c4fA0C4F04。

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

为什么会呈现这种环境,继承按照Furucombo: Proxy v1.0.0合约

0x17e8ca1b4798b97602895f63206afcd1fc90ca5f,阐明其对应的署理Aave V2合约

0x7d2768dE32b0b80b7a3454c06BdAc94A69DDc7A9。

Aave V2 Proxy 合约中,

0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc

值对应IMPLEMENTATION_SLOT变量,最终利用该变量的函数为_implementation(),详细代码如下图所示。

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

继承阐明Aave V2 Proxy 合约,

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

在initialize()函数中,均对IMPLEMENTATION_SLOT变量和implementation()函数举办了判定,函数第一行代码判定implementation()函数值是否为0,第二行代码中,也是判定IMPLEMENTATION_SLOT值是否相等,假如前两行代码判定乐成,就会将initialize()函数传进来的地点_logic配置为Implementation,当Implementation配置乐成后,其他挪用者也就无法乐成挪用initialize()函数(initialize()函数条件的前两行再也无法满意),,所以通过initialize()函数配置的Implementation为永久。

通过以上阐明,进攻者合约的第二笔生意业务状态就可以表明白。

由于urucombo官方未对Aave V2 Proxy 合约中的

0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc 这个位置举办初始化赋值,所以导致进攻者利用本身的地点举办了初始化,最终进攻者偷取了Furucombo合约有授权的代币代价约1500万美元。

发起用户尽快自行查抄钱包授权,相关东西:https://cn.etherscan.com/tokenapprovalchecker

未参加的项目实时删除授权。

是后门,还是大意?Furucombo遭黑客打击事件阐发|零时科技

安详发起

DeFi本年确实备受存眷,黑客进攻也不绝产生,包罗Harvest Finance,Value DeFi,Akropolis,Cheese Bank和Origin Dollar等均受到差异水平的黑客进攻。针对几回产生的黑客进攻事件,我们给出以下的安详发起:

在项目上线之前,找专业的第三方安详企业举办全面的安详审计,并且可以找多家举办交错审计;

可以宣布裂痕赏金打算,发送社区白帽子辅佐找问题,先于黑客找到裂痕;

增强对项目标安详监测和预警,只管做到在黑客动员进攻之前宣布预警从而掩护项目安详。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读