安全团队：ShadowFi未定义合理访问控制，遭攻击者利用

据官方消息，9月2日，HyperLab安全团队在BSC链上检测到ShadowFi Token贬值事件。攻击者将10,354,936.721195451 SDF token销毁，随后将 8.461538282 SDF换成约合$30万BNB资产。

团队分析称，从交易细节可得，攻击者在交易中调用burnTokens()函数烧掉了SDF，而ShadowFi合约没有实现权限验证函数onlyOwner，设置burnTokens为public，导致被攻击者利用，将代币全部销毁。项目方对于burn()这类函数, 没有定义合理的访问控制, 导致任意用户都能调用这个合约, 从而造成不必要的损失。

据悉，Hyperlab围绕数字钱包这一核心产品及其周边服务，针对热钱包安全、冷钱包安全、钱包服务器安全，以及钱包使用者安全等议题开展研究工作，为用户和企业提供安全解决方案和服务。

安全团队：TransitSwap事件新增3个套利机器人及2个攻击模仿者，已知被盗损失总计超2800万美元:根据TransitSwap官方通告，BSC链新增4个获利地址，ETH链新增1个获利地址，新增被盗资金357万美元，共计获利地址8个，被盗损失总计扩大至2884万美元。慢雾MistTrack与TransitSwap团队协作分析后得出结论，新增5个获利地址中有3个是套利机器人，而另外2个则是攻击模仿者。此前，慢雾通过情报发现套利机器人地址0xcfb0...7ac7。慢雾MistTrack仍在持续跟进此次事件，对新增获利地址的资金转移与黑客画像进行分析。

截止到目前，在各方的共同努力下，攻击黑客已将超 8 成的被盗资产退还到 Transit Swap 项目方地址，建议套利机器人所属人和攻击模仿者同样通过 service@transit.finance 或链上地址与 Transit Swap 取得联系，共同将此次被盗事件的受害用户损失降低到最小。

攻击黑客获利地址（已归还资金占总被盗资金约 83.6%）：

0x75F2...FFD46 获利金额：约 2410 万美元

0xfa71...90fb

套利机器人获利地址：

1: 0xcfb0...7ac7(BSC) 获利金额：1,166,882.07 BUSD

2: 0x0000...4922(BSC) 获利金额：246,757.31 USDT

3: 0xcc3d...ae7d(BSC) 获利金额：584,801.17 USDC

4. 0x6C6B...364e(ETH) 获利金额：5,974.52 UNI、1,667.36 MANA

攻击模仿者获利地址：

1: 0x87be...3c4c(BSC) 获利金额：356,690.71 USDT

2: 0x6e60...c5ea(BSC) 获利金额：2,348,967.9 USDT[2022/10/6 18:40:24]

安全团队：跨链DEX聚合器Transit Swap因任意外部调用问题被黑，被盗资金规模超2300万美元:10月2日消息，据慢雾安全团队情报，2022年10月2号跨链DEX聚合器TransitSwap项目遭到攻击，导致用户资产被非预期的转出。慢雾安全团队分析评估此次被盗资金规模超过2300万美元，黑客地址为0x75F2...FD46和0xfa71...90fb。接着对此次攻击过程进行了分析：

1. 当用户在Transit Swap进行swap时，会先通过路由代理合约(0x8785bb...)根据不同的兑换类型选择不同的路由桥合约。随后路由桥合约(0x0B4727...)会通过权限管理合约(0xeD1afC...)的 claimTokens 函数将用户待兑换的代币转入路由桥合约中。因此在代币兑换前用户需要先对权限管理合约(0xeD1afC...)进行授权。

2. 而 claimTokens 函数是通过调用指定代币合约的 transferFrom 函数进行转账的。其接收的参数都由上层路由桥合约(0x0B4727...)传入，本身没有对这些参数进行任何限制只检查了调用者必须为路由代理合约或路由桥合约。

3. 路由桥合约(0x0B4727...)在接收到用户待兑换的代币后会调用兑换合约进行具体的兑换操作，但兑换合约的地址与具体的函数调用数据都由上层路由代理合约(0x8785bb...)传入，路由桥合约并未对解析后的兑换合约地址与调用数据进行检查。

4. 而代理合约(0x8785bb...)对路由桥合约(0x0B4727...)传入的参数也都来自于用户传入的参数。且代理合约(0x8785bb...)仅是确保了用户传入的 calldata 内各数据长度是否符合预期与所调用的路由桥合约是在白名单映射中的地址，未对 calldata 数据进行具体检查。

5. 因此攻击者利用路由代理合约、路由桥合约与权限管理合约均未对传入的数据进行检查的缺陷。通过路由代理合约传入构造后的数据调用路由桥合约的 callBytes 函数。callBytes 函数解析出攻击者指定的兑换合约与兑换数据，此时兑换合约被指定为权限管理合约地址，兑换数据被指定为调用 claimTokens 函数将指定用户的代币转入攻击者指定的地址中。实现了窃取所有对权限管理合约进行授权的用户的代币。

此次攻击的主要原因在于 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查，导致了任意外部调用的问题。攻击者利用此任意外部调用问题窃取了用户对Transit Swap授权的代币。

截止到目前，黑客已将 2,500 BNB 转移到 Tornado Cash，剩余资金分散保留在黑客地址中。经过黑客痕迹分析发现，黑客存在从 LATOKEN 等平台存提款的痕迹。慢雾 MistTrack 将持续跟进被盗资金的转移以及黑客痕迹的分析。[2022/10/2 18:37:27]

以太坊基金会正在为ETH 2.0建立安全团队:以太坊研究者Justin Drake透露，以太坊基金会正在建立一个专门针对ETH 2.0的内部安全团队。其中将包括模糊测试、赏金狩猎、寻呼机职责、加密经济模型、应用密码分析、正式验证等。（BTCManager）[2020/8/3]

相关资讯