Cointime

Cointime

Uygulamayı indirmek için QR kodu tarayın
iOS & Android

Boş Eldivenli Beyaz Kurt——YIEDL Hacked Analizi

Validated Project

Yazan: Sissice

arka plan

SlowMist güvenlik ekibinin istihbaratına göre 24 Nisan 2024'te BSC zincirindeki YIEDL projesi saldırıya uğradı ve saldırgan yaklaşık 300.000 ABD doları kar elde etti. SlowMist güvenlik ekibi saldırı olayını analiz etti ve sonuçları şu şekilde paylaştı:

https://twitter.com/SlowMist_Team/status/1782962346039898473

İlgili bilgi

Saldırganın adresi:

0x322696471792440499b1979e0a440491e870667a

Saldırıya uğrayan sözleşme adresi:

0x4edda16ab4f4cc46b160abc42763ba63885862a4

Kısmi saldırı işlemi:

0x49ca5e188c538b4f2efb45552f13309cc0dd1f3592eee54decfc9da54620c2ec

0x3629ad588ac120163792e92b6c43bd4bdc5bf35cac66eb7f3a0267df93abc849

0x0a89b8670c40b4067b9522a5933c3bf8c44c968103aa642b04c65d49ad9e6457

0x5e468cba495e5f6165418fb9d87d824309c54261055425f33f588dd3b3abbcea

0x8710034dadecfc8c26f651c612f613fffdece6e2f9957b9ec8ab843218168c1d

0x9da398ed274c8cfa774b36003fa8c930d3430d0fc5889b5008830fd6463f68a9

0x2e3d4332f66a334e0170187011ed673dc222f95bf4443b618e08f8052437ef7a

0x5a15fdc57c35f2305aaa0bb95b109ad412b17406d737d137190fe5867393339d

0x8ef3765665cd849cdf9132ab37caf6aa0f891e1f7d9f418f86a6ab6ea38b6f5b

0xa9fa04b033afbed2218679aea92e9429a5f7839d0b4c65358ebf9ba20efcd021

0xa9fa04b033afbed2218679aea92e9429a5f7839d0b4c65358ebf9ba20efcd021

Çekirdeğe saldırın

Bu olaydaki saldırının özü, redeem işlev çağrısını işlemek için sözleşmeyi kullanırken kullanıcı tarafından girilen harici parametrelerin tam olarak doğrulanamamasıydı. Bu parametre, varlık değişimini kontrol eden önemli verilerdir ve genellikle belirli ticaret talimatlarını veya yönlendirme bilgilerini içerir. Saldırgan, bu harici parametreyi kötü niyetle oluşturarak yetkisiz varlık aktarımı gerçekleştirir.

işlem analizi

Saldırgan, miktarı 0 olan varlıkların itfasına başvurmak için redeem fonksiyonunu birden çok kez çağırır. Bu davranışın kendisi zararsız görünmektedir, çünkü itfa miktarı sıfır olduğunda genellikle gerçek bir fon akışını tetiklemez:

Ancak redeem fonksiyonunun ardından bu fonksiyonun sözleşmenin izin verdiği varlıklar listesinde dolaşacağını ve mevcut varlığın kullanıcının almak istediği varlık olmadığı durumlarda gelen dataList parametresine göre ve harici olarak ayrıştıracağını görebiliriz. Varlık değişimi işlemlerini yürütmek için 1 inç Yönlendiricideki ilgili işlevi çağırın.

Buraya iletilen dataList kontrol edilmediğinden ve doğrulanmadığından, saldırgan, keyfi kontrol edilebilir token değişim işlemlerini gerçekleştirmek için 1 inç Yönlendirici sözleşmesinin unoswapTo işlevini yürütmek üzere kötü amaçlı değerler oluşturabilir.

Sonuç olarak Yiedl BULL sözleşmesindeki WBNB-ADA Token, saldırganın adresine BNB ile takas edildi.

Bu sayede saldırgan, aslında herhangi bir geri ödeme payına sahip olmadan, dataList parametresi tarafından kontrol edilen token takas işlemini tetikleyebilir, kendi varlıklarını tüketmeden sözleşme fonlarını birden çok kez harekete geçirebilir ve piyasadan kârlı çıkabilir.

Özetle

Bu sayede saldırgan, aslında herhangi bir geri alım payına sahip olmadan, dataList parametresi tarafından kontrol edilen token takas işlemini tetikleyebilir, kendi varlıklarını tüketmeden sözleşme fonlarını birden çok kez harekete geçirebilir ve piyasadan kârlı çıkabilir.

Özetle

Bu saldırının özü, işlevin kullanıcı tarafından girilen dataList parametresini tam olarak doğrulayamaması, saldırganın kötü amaçlı harici veriler oluşturmasına ve sözleşmedeki belirteçleri çalmak için 1 inç kullanmasına olanak sağlamasıdır. SlowMist güvenlik ekibi, proje tarafının, özellikle sözleşmedeki fon operasyonları söz konusu olduğunda, tüm dış çağrıların beklenen davranışsal spesifikasyonlara uygun olduğundan emin olmak ve kapsamlı bir güvenlik denetimi gerçekleştirmek için geliştirme aşamasında katı bir parametre doğrulama mekanizması uygulamasını tavsiye eder. Benzer olayların tekrar yaşanmasını önlemek için sözleşmenin mantığı.

Yorumlar

Tüm Yorumlar

Önerilen okuma

  • Hong Kong, yeni enerji araç şarj ağları için dünyanın ilk yeşil menkul kıymet token ihracını başlattı

    Hong Kong, yeni enerji araç şarj ağları için dünyanın ilk yeşil menkul kıymet token ihraçlarını başlattı. Bu G-STO ihracı, Hong Kong'un yerel yeni enerji araç çözüm sağlayıcısı XECO ve lisanslı bir kurum olan Gaopu Technology Finance (Hong Kong) tarafından ortaklaşa düzenleniyor. Hong Kong Menkul Kıymetler Düzenleme Komisyonu'ndan yapılan açıklamada, Ethereum blockchain üzerinde yeşil menkul kıymet tokeni ihracının başlatılacağı bildirildi. Şu anda her katılımcı, ürün veya hizmet kullanımını anında anlayabiliyor. Yeni enerji aracı şarj projeleri ve Ethereum blockchain teknolojisinden yararlanarak getirileri iş performansına dayalı olarak tahmin eden G-STO, özel sermaye piyasasının finansal eşiğini düşürür ve KYC/AML (Müşterinizi Tanıyın/Kara Para Aklamayı Önleme) uyumluluğu ile iş dünyasını birleştirir. yönetişim, risk değerlendirmesi ve yıllık mali denetimler gibi geleneksel önlemler.

  • Cointime 18 Mayıs Haber Ekspresi

    1. 17 Mayıs itibarıyla Grayscale GBTC'nin AUM'u 19 milyar ABD dolarının üzerine çıktı ve varlıkları önceki güne göre yaklaşık 59 BTC arttı.

  • Bir adres yanlışlıkla yaklaşık 7.000 dolarlık BTC'yi Satoshi Nakamoto'nun cüzdanına aktardı.

    Arkham izlemesine göre, birisi dün gece yanlışlıkla BTC varlıklarının %90'ını Satoshi Nakamoto'nun cüzdan adresine gönderdi. Bir Ordinal'i yok etmeye ve bunu @PupsToken ile değiştirmeye çalıştılar, ancak yanlışlıkla cüzdan bakiyesinin neredeyse tamamını (BTC olarak yaklaşık 7.000 dolar) gönderdiler.

  • Bitcoin madencilik şirketi Phoenix Group, 1. çeyrek mali raporunu açıkladı: net kâr, yıllık %166 artışla 66,2 milyon ABD doları oldu

    Borsada işlem gören bir Bitcoin madenciliği şirketi ve blockchain teknolojisi sağlayıcısı olan Phoenix Group, ilk çeyrek mali raporunu yayınladı. Ana içerikler aşağıdaki gibidir:

  • Pudgy Penguins, Kore pazarına açılmak için Lotte ile stratejik işbirliği yapıyor ve taban fiyatlar ayın 7'sinde %3,1 arttı

    NFT serisi "Pudgy Penguins" yakın zamanda Güney Kore ve çevresindeki pazarını genişletmek için Güney Koreli perakende ve eğlence devi Lotte Group ile X platformunda stratejik bir ortaklık kurduğunu duyurdu. Daha fazla bilgi daha sonra açıklanacak. CoinGecko verileri, Pudgy Penguins'in taban fiyatının 7 günlük %3,1 artışla geçici olarak 11,8 ETH olarak bildirildiğini gösteriyor.

  • CryptoPunks 'Super Punk World' dijital avatar serisini başlatıyor

    Mavi çipli NFT projesi CryptoPunks, "Super Punk World"ün lansmanını duyurdu. Koleksiyonun toplanması ve satışıyla ilgili daha fazla ayrıntı yakında açıklanacak.

  • 17 Mayıs itibarıyla Grayscale GBTC'nin AUM'si 19 milyar ABD dolarının üzerine çıktı ve varlıkları önceki güne göre yaklaşık 59 BTC arttı.

    Gri tonlamalı resmi veriler, yerel saatle 17 Mayıs itibarıyla, spot Bitcoin borsa yatırım fonu GBTC'nin, bir önceki işlem gününe göre 59,3288 BTC artışla 288.954.3969 BTC'ye sahip olduğunu gösteriyor. Buna ek olarak, GBTC'nin yönetim altındaki varlıkları (GAAP dışı) 19.373.184.484,83 $'a yükseldi ve dolaşımdaki payı hafif bir artışla 324.810.100 birime yükseldi.

  • Core Foundation 5 milyon dolarlık inovasyon fonu başlattı

    Golden Finance, CoreDAO'nun internet sitesinde yaptığı duyuruya göre, ülkede yenilikçi blockchain projelerinin geliştirilmesini desteklemek amacıyla fonun proje finansmanı başvurularını açtığını bildirdi.

  • Drift Vakfı: Yönetişim mekanizması giderek gelişiyor ve DRIFT onun bileşenlerinden biri

    Drift Vakfı, X platformunda DRIFT tokeninin yönetişimin ayrılmaz bir parçası olduğunu ve topluluğun geleceği şekillendirmesini güçlendirmenin anahtarı olduğunu belirten bir belge yayınladı. Yönetişim mekanizması kademeli olarak geliştirilmektedir ve yakında daha fazla bilgi açıklanacaktır. Aynı zamanda kullanıcılar, DRIFT'i aşağıdaki Solana ekolojik projelerine yatırabilirler: Drift Protokolü'ndeki para yatırma (gelecekteki yönetişim girişimlerinde ve planlarında tanınacak), Meteora DLMM havuzu aracılığıyla likidite sağlanması, Kamino'nun DRIFT - JitoSOL kasası, marjinfi, SolBlaze çoklu likidite havuzlar vb. Önceki haberlere göre DRIFT token airdrop uygulaması başlatıldı ve 17 Ağustos sabah saat 2'de sona ermesi planlanıyor.

  • Securities Times: DDO dijital opsiyonları yurt dışında 80 ABD dolarına yükseldi ve hala aşırı bir şekilde satılıyor

    Securities Times'a göre Ding Yifeng'in ofis binası tamamen boşaltıldı ve bulunduğu katlar dijital opsiyonlar DDO ile ilgili risk uyarılarıyla kaplı. Amaç, yatırımcıları Ding Yifeng'in dijital opsiyonlarının yasa dışı olduğundan şüphelenildiği konusunda uyarmak. Muhabir, sitede elde edilen "Dingdao Dijital Opsiyon Abonelik Anlaşması"nda her DDO'nun 1 ABD Doları değerinde olduğunu gördü. Daha önce süresi dolmuş ve ödenmemiş sözleşme tutarları olan yatırımcılar, yeni bir sözleşme imzalamak için yeniden planlanacak, yani daha önce tutulan "orijinal hisseler" özsermayesi Dingdao Digital Options'a devredilecek ve aynı miktarda DDO dijital tokenini tutabilecekler. DDO dijital opsiyonları şu anda Singapur'da listeleniyor ve işlem görüyor. Ding Yifeng No. 1'in yatırım yöneticisi Gu Ming (takma ad), fiyatın başlangıçtaki 1 ABD dolarından 80 ABD dolarına yükseldiğini söyledi. para kat kat arttı. Halen DDO'ya yatırım yapmak isteyen birçok yatırımcı var ve müşteri sayısı yeni bir rekora ulaştı. Daha önce, Shenzhen Yerel Mali Yönetim Bürosu, Ding Yifeng adına yürütülen DDO dijital opsiyon ticari faaliyetlerinin esas olarak yasa dışı finansal faaliyetler olan ve yasadışı finansal faaliyetler olduğundan şüphelenilen sanal para birimlerinin ihraç edilmesi ve ticareti olduğuna işaret eden bir risk uyarısı duyurusu yayınlamıştı. yasa dışı bağış toplama ve diğer faaliyetler.

Günlük Seçimler

Cointime
İçerikler
Şirket.