NCE:小缺陷大损失 ，GYM Network何至于此 ？

前言

北京时间2022年6月8日，知道创宇区块链安全实验室?自动数据监测工具监测到BSC链上NFT项目GYMNetwork因"PublicdepositFromOtherContract"权限控制问题被攻击，损失包括7475枚BNB，共计约216W美元，目前已将兑通过DEX换70W美元的ETH通过Celer跨链到以太坊，2000枚BNB利用BSC-Tornado进行混币，余下3000枚BNB在攻击者地址。

知道创宇区块链安全实验室?第一时间跟踪本次事件并分析。

基础信息

美总统候选人肯尼迪：将捍卫比特币和其他数字资产的自我保管权:金色财经报道，小罗伯特·F·肯尼迪 (Robert F. Kennedy Jr.) 今天在比特币 2023 大会上首次以总统候选人身份公开露面，分享了他自己使用比特币的经历。肯尼迪表示，如果我作为总统，我将确保你持有和使用比特币的权利不受侵犯，我是公民自由的热心捍卫者和终生捍卫者，而比特币既是这些自由的一种行使，也是一种保障。

肯尼迪强调了他对拜登政府提议对矿工使用能源征税等法规感到厌恶，并概述了他的政府将采取哪些步骤来推动美国的比特币创新。首先，我将捍卫比特币和其他数字资产的自我保管权，第二，我将维护在国内运行节点的权利，第三，我将捍卫使用中立、行业中立的能源监管。第四，我将确保美国仍然是比特币和其他加密货币的全球中心，我将扭转政府对这个行业日益增长的敌意。[2023/5/20 15:15:22]

被攻击合约：0x0288fba0bf19072d30490a0f3c81cd9b0634258a

WazirX CEO：Binance运营WazirX的加密货币对并处理加密货币提款:金色财经报道，WazirX首席执行官Nischal Shetty在社交媒体上称，关于WazirX和Binance的事实是：WazirX被Binance收购，Zanmai Labs是一个印度实体，由我和我的联合创始人拥有。Zanmai Labs获得了Binance的许可，可以在WazirX中运营印度卢比和加密货币的交易对。Binance运营加密货币对，处理加密货币提款。你可以通过访问WazirX的TOS来检查这一事实。

此外，Binance拥有WazirX域名、Binance拥有AWS服务器的根访问权、Binance拥有所有的加密货币资产、Binance拥有所有的加密货币利润，不要混淆Zanmai和WazirX。

此前消息，Binance创始人CZ表示，Binance未持有WazirX股份，仅提供钱包支持等服务。[2022/8/6 12:05:54]

攻击者地址：0xB2C035eee03b821cBe78644E5dA8B8eaA711D2e5

PeckShield：Quixotic攻击者已将857枚BNB转入Tornado.cash:7月4日消息，派盾（PeckShield）监测显示，Optimism上NFT市场Quixotic的攻击者已将857枚BNB转入Tornado.cash。

此前，Quixotic黑客盗取了大约22万枚OP。[2022/7/4 1:49:39]

攻击合约：0xcD337b920678cF35143322Ab31ab8977C3463a45、0x68b5f1635522ec0e3402b7e2446e985958777c22

灰度推出首个欧洲ETF，将提供数字经济公司投资敞口:5月16日消息，灰度宣布推出首个欧洲 ETF（交易所交易基金） Grayscale Future of Finance UCITS ETF，将在伦敦证券交易所上市交易所等欧洲交易所上市。GFOF UCITS ETF 跟踪 Bloomberg Grayscale Future of Finance 指数表现，提供数字经济公司的投资敞口。Bloomberg Grayscale Future of Finance 指数包括参与数字经济的资产管理公司、交易所、经纪公司和财富管理公司；提供技术解决方案以促进数字经济发展的组织；直接参与挖矿、能源管理和为数字资产生态系统提供动力的公司。[2022/5/16 3:19:28]

tx：0xfffd3aca0f53715f4c76c4ff1417ec8e8d00928fe0dbc20c89d875a893c29d89

GymSinglePool代理合约:0xa8987285e100a8b557f06a7889f79e0064b359f2

漏洞分析

项目方在GymSinglePool合约中实现过程中对于0x0288fba0bf19072d30490a0f3c81cd9b0634258a#depositFromOtherContract函数缺少了权限控制，导致攻击者能够通过该函数调用内部_autoDeposit函数实现零消耗质押：

对于应该开放给用户的质押内部函数是_deposit函数，该函数实现了对于token的审批传入，如下图所示：

对应的_autoDeposit函数则实现了"特权"质押，即不需要转入Token进行质押。同时该函数直接暴露给了用户，函数对比如下：

攻击流程

攻击者为了防止链上MEV和抢跑机器人，将合约进行了分步部署执行，同时部署/调用了多次以完成对GymNetwork合约(0x3a0d9d7764FAE860A659eb96A500F1323b411e68)中的GYMNETToken完全抽离，以其中一笔部署调用为例：

1.部署合约后调用depositFromOtherContract实"特权"质押，对应0xfd4a2266方法：

内部调用细节如下:

2.调用0x30649e15实现对上一步特权质押的Token回撤：

3.利用0x1d111d13函数售出获取到的的GYM-Token：

重复多次"特权"质押--回撤--售出步骤，攻击者最终获取到7475枚BNB:

为了抑制抢跑，攻击者将添加质押和回撤进行了步骤分离，两个步骤均为核心操作，同时刻意提高添加部分步骤的GasPrice为15/20gwei,可见攻击者是有意为之。

溯源处置

本次攻击原因是项目方实现的特权函数权限控制不当，在攻击发现的1小时后项目方将GymSinglePool代理合约的逻辑合约进行了多次修改，为其添加了权限控制：

并在20分钟后对逻辑合约添加了紧急账户处置函数：

而对于项目方Deployer地址分析，其部署的多个GymSinglePool合约根据追踪仅在两天前部署的GymSinglePool合约中存在漏洞，4天前的合约则不存在此函数：

同时代理合约对应的逻辑合约被升级为漏洞合约的事件发生在在2days13hrsago：

攻击者的资金准备(FromTornado)则在约6小时以前，攻击者的身份也值得令人深思。

总结

虽然只是一处小的控制缺陷，却导致了数百万美元的损失。项目方的处置虽较为及时，漏洞导致的损失却难以挽回。该类型漏洞在审计过程中很容易被发现并将归纳到逻辑缺陷/不安全的外部调用，各项目方在开发和审计流程上切莫大意。

标签：ANCNANNCEbinanceyffc.financeNANO价格Ymen.FinanceBinance Multi-Chain Capital

ETH热门资讯