在本週的摘要中,Verichains 展示了我們如何通過我們的安全諮詢服務幫助我們的客戶 Multichain 保護他們的平台。
上週,由於 SafeMoon 成為人們關注的焦點,DeFi 市場又遭受了 900 萬美元的黑客攻擊。
Verichains 安全公告
多鍊是為任意跨鏈交互而開發的基礎設施。 Anyswap 於 2020 年 7 月 20 日誕生,旨在滿足不同和多樣化區塊鏈相互通信的明確需求。
2022 年 12 月,Verichains 正在對閾值 ECDSA 安全性進行廣泛研究。我們在 Multichain 的 fastMPC 實施中發現了一個特定漏洞,並立即聯繫他們的團隊並提供概念驗證以供他們參考。
該漏洞允許單個惡意方恢復 TSS 組的 TSS 私鑰,將 at/n 閾值方案降低到 1/n。攻擊者只需參加 1 次簽字儀式即可。所有分別使用 7.2.5 和 7.2.6 版本的多鍊主網和測試網 smpc 節點都存在風險。
通過我們的共同努力,Multichain 能夠在任何利用發生之前快速修補漏洞。
本案例研究強調了通過我們的安全諮詢服務為我們的客戶提供的價值和保護。我們對 Multichain 團隊在解決漏洞方面的迅速努力以及獎勵的賞金表示感謝。
在此處閱讀完整的安全公告:
驗證鏈上週的事件
🚨項目: SafeMoon
⛓️鏈: BSC
💥類型:訪問控制
💸損失金額: 890萬美元
上週開始了今年(迄今為止)第二大黑客攻擊 SafeMoon,這是一個 DeFi 項目,由於 SFM 代幣合約的 burn() 函數中的訪問控制漏洞而遭到黑客攻擊,損失 890 萬美元。惡意行為者利用此漏洞銷毀了大量 SFM 代幣,導致 SFM 代幣價格突然飆升。之後,攻擊者將 SFM 代幣換成 WBNB 代幣,並提取了大量代幣,導致 SafeMoon 用戶遭受重大損失。
還值得注意的是,該交易被 0x286e MEV 機器人攔截並執行。 MEV 代表“最大可提取價值”,它指的是礦工或其他參與者可以從區塊鏈交易中提取的價值量。 MEV 機器人是一種自動化工具,它們通過以最大化利潤的方式執行交易來尋求最大化此價值。
總的來說,這一事件凸顯了智能合約中強大的訪問控制機制的重要性,以及在快速發展的區塊鏈世界中時刻保持警惕的必要性。
🚨項目: Allbridge
⛓️鏈: BSC
💥類型:價格操縱
💸損失金額: $570,000
由於價格操縱,一個名為 Allbridge 的項目被黑客入侵超過 50 萬美元。攻擊者同時充當 LP 和交換者,允許他們控制池並操縱交換價格。因此,攻擊者執行了交易並清空了礦池,導致損失 282,889 BUSD 和 290,868 USDT。在撰寫本文時,攻擊者已同意返還 1500 個 BNB 代幣(約合 465,000 美元),將差額作為白帽賞金保留,結局圓滿。
🚨項目:北極熊
⛓️鏈: BSC
💥類型:後門
💸損失金額: $110,000
在一個可能引起一些關注的事件中,一個名為 Polar Bear 的項目因 Nuwa 合約 0x344 中的後門而被黑客攻擊,損失 110,000 美元,該後門未公開。發現函數 0xfa319eee 是罪魁禍首,它允許將 $BUSD 交換為 $NUWA 並將合約中的所有 $NUWA 轉移給調用者。在交易執行過程中,0x286E Mev bot搶先交易,導致原交易被撤銷。逆轉後,0x286E 機器人出售了 $NUWA,獲利約 11 萬美元。
🚨項目: $UNMS
⛓️鏈: BSC
💥類型:閃貸攻擊
💸損失金額: $100,000
一個名為 $UNMS 的代幣上周遭受了 100,000 美元的閃貸攻擊。攻擊者利用閃電貸借入了大量的$BUSD,並修改了$BUSD和$UNMS之間的比率。這種更改使攻擊者能夠從合約中提取大量 $UNMS,後來他們以 10 萬美元的價格出售。在這次攻擊中使用快速貸款允許攻擊者在短時間內對流動資金池進行大規模操縱。
