光谱协议漏洞:任意调用再次出现

本文为机器翻译
展示原文

概述

2024 年 7 月 23 日,一次恶意交易针对 Spectra 协议,导致 73,000 美元的损失。

攻击摘要

此次入侵事件源于 Spectra 路由器合约中的任意调用漏洞。此漏洞允许攻击者盗取已批准用于该合约的代币。尽管此次攻击破坏了四个个人钱包的交易,但 Spectra 的核心协议合约仍然安全,确保了其中资金的安全。Spectra 迅速解决了该问题并恢复了正常运营。

攻击者使用 ` execute`函数实施攻击,以下是该过程的简化版本:

攻击者可以控制“ kyberRouter ”和“ targetData ”变量,从而允许他们操纵 Spectra 协议合约来调用具有任意参数的任何合约。

结论

此处利用的漏洞是由于 Spectra Protocol 合约中参数验证不充分。攻击者伪造了特定的输入数据,从而可以操纵合约将代币转移到他们控制的地址。

我们在曼谷 HITB 2024的培训课程中重点介绍了这种类型的攻击。在本节中,我们将介绍各种现实世界的攻击类型,并提供有效保护协议的策略。

建议

  • 多层验证:确保对传递给智能合约函数的所有参数进行严格验证。

  • 全面审计:在启动协议之前,聘请多家审计公司进行全面的代码审查和交叉验证。

通过解决这些漏洞,项目可以更好地防范未来此类攻击。

感谢阅读 Verichains!免费订阅以接收新帖子并支持我的工作。

来源
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
Followin logo