收敛事件 - 一个简单的漏洞如何造成了21万美元的损失

avatar
Verichains
08-02
本文为机器翻译
展示原文

2024 年 8 月 1 日,Convergence-Fi 项目的CvxRewardDistributor合约被利用,造成约 21 万美元的损失。让我们来看看这次攻击是如何发生的细节。

概述

攻击者地址:

https://etherscan.io/address/0x03560a9d7a2c391fb1a087c33650037ae30de3aa

攻击交易: https://etherscan.io/tx/0x636be30e58acce0629b2bf975b5c3133840cd7d41ffc3b903720c528f01c65d9

易受攻击的合约( TransparentUpgradeableProxy下的CvxRewardDistributor ): https://etherscan.io/address/0x2b083beaac310cc5e190b1d2507038ccb03e7606

漏洞分析

查看攻击交易,我们可以看到,在claimMultipleStaking调用中,攻击者试图将自己新创建的合约注入到claimContracts参数中。

深入研究CvxRewardDistributor合约的源代码后,我们可以看到claimContracts参数未经验证。因此,如果攻击者将自己控制的地址注入claimMultipleStaking()函数,他就可以操纵cvgClaimable变量,从而大幅增加将铸造的 CVG 代币数量。

攻击发生后,共铸造了 5800 万个 CVG 代币并兑换为 WETH,约合 21 万美元。

结论

攻击很简单,但危害却非常严重。通过适当的代码审查和审计流程,可以很容易地从一开始就检测并预防此类漏洞。

如果您想了解更多有关现实世界中 Web3 攻击的执行方式以及如何在链上追踪它们的信息,请查看我们在曼谷 HITB 2024的培训。这门高级 Web3 智能合约安全课程将涵盖各种现实世界的攻击类型,并提供有效保护协议的常用策略。

相关赛道:
流动性挖矿
DEX
来源
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
相关推荐