概述
2024 年 7 月 23 日,一次恶意交易针对 Spectra 协议,导致 73,000 美元的损失。
攻击摘要
攻击者使用 ` execute`函数实施攻击,以下是该过程的简化版本:
攻击者可以控制“ kyberRouter ”和“ targetData ”变量,从而允许他们操纵 Spectra 协议合约来调用具有任意参数的任何合约。
结论
此处利用的漏洞是由于 Spectra Protocol 合约中参数验证不充分。攻击者伪造了特定的输入数据,从而可以操纵合约将代币转移到他们控制的地址。
我们在曼谷 HITB 2024的培训课程中重点介绍了这种类型的攻击。在本节中,我们将介绍各种现实世界的攻击类型,并提供有效保护协议的策略。
建议
多层验证:确保对传递给智能合约函数的所有参数进行严格验证。
全面审计:在启动协议之前,聘请多家审计公司进行全面的代码审查和交叉验证。
通过解决这些漏洞,项目可以更好地防范未来此类攻击。
感谢阅读 Verichains!免费订阅以接收新帖子并支持我的工作。