Cointime

扫码下载App
iOS & Android

SharkTeam:Hedgey Finance被攻击事件分析

2024年4月19日,Hedgey Finance遭受多笔攻击交易,损失超过200万美元。

SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。

Hedgey Finance被过个攻击者发起了多次攻击,利用代币批准漏洞,盗取了ClaimCampaigns合约中的大量代币。

以其中涉及金额最大的一笔交易为例,涉及金额约130万美元:

攻击交易:0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

攻击者:0xded2b1a426e1b7d415a40bcad44e98f47181dda2

攻击合约:0xc793113f1548b97e37c409f39244ee44241bf2b3

目标合约:0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511(ClaimCampaigns)

该交易直接从ClaimCampaigns合约中转移走了1,303,910.12 USDC。交易详情如下:

实际发起攻击的交易是

0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517(简记为0xa17f)

攻击过程如下:

1 从Balancer中闪电贷1.305M USDC。

2 调用ClaimCampaigns合约中的createLockedCampaign函数。在该函数中,攻击合约会将1.305M USDC存入ClaimCampaigns合约中,然后laimCampaigns合约会将转入的1.305M USDC批准给攻击合约使用。

3 调用ClaimCampaigns合约中的cancelCampaign函数。在该函数中,攻击合约将存入的1.305M USDC提取出来,但在createLockedCampaign函数中批准给攻击合约的USDC并没有取消。

4 攻击合约偿还Balancer的闪电贷。

在该交易中,攻击合约将保存在ClaimCampaigns合约中的1.305M USDC提取走后,ClaimCampaigns合约批准给攻击合约的1.305M USDC并没有取消,因此攻击合约可以直接调用USDC的transferFrom函数再次从ClaimCampaigns合约中转移走1.305M USDC。这也是交易0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517实现的功能。

通过以上两笔交易,攻击者从ClaimCampaigns合约中盗取了1.305M USDC。

除了USDC外,该攻击者利用此漏洞还从ClaimCampaigns合约中盗取了大量的NOBL Token,加上USDC,总价值超过200万美元。

本次事件的根本原因是项目方智能合约在实现逻辑上存在代币批准漏洞,使得攻击者可以利重复转移目标合约批准给msg.sender中的Token。

智能合约ClaimCampaigns的createLockedCamaign函数会将msg.sender的Token存入到目标合约中,并将这些Token批准给msg.sender。

cancelCampaign函数会将存入的Token提取出来,但却并没有取消代币的批准。

攻击者利用此漏洞,直接调用Token的transferFrom函数从目标合约中再次转移走批准的代币。

针对本次攻击事件,我们在开发过程中应遵循以下注意事项:

(1)项目在设计和开发过程中,要保持逻辑的完整性和严谨性,尤其是涉及到资产的转移过程中,在转移Token时保证同步代币批准的数量,避免上面转移走了Token但没有取消批准的情况。

(2)项目上线前,需要由第三方专业的审计公司进行智能合约审计。

SharkTeam的愿景是保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约底层理论。提供包括风险识别与阻断、智能合约审计、KYT/AML、链上分析等服务,并打造了链上智能风险识别与阻断平台ChainAegis,能有效对抗Web3世界的高级持续性威胁(Advanced Persistent Threat,APT)。已与Web3生态各领域的关键参与者,如Polkadot、Moonbeam、polygon、Sui、OKX、imToken、Collab.Land、TinTinLand 等建立长期合作关系。

官网:https://www.sharkteam.org

Twitter:https://twitter.com/sharkteamorg

Telegram:https://t.me/sharkteamorg

Discord:https://discord.gg/jGH9xXCjDZ

评论

所有评论

推荐阅读

  • Fundstrat数字资产策略主管:目前韩国泡菜溢价约为0%,或表明BTC还有上升空间

    Fundstra 数字资产策略主管Sean Farrell在最新的客户报告中表示,“朋友和家人”又开始询问加密货币了,从可量化的市场指标来看,当前的形势并没有表现出三月份反弹或2021年末周期性高峰的泡沫,比如目前韩国市场的泡菜溢价指标数据约为0%,表明韩国交易者缺乏过度兴奋,通常情况下若市场达到顶峰泡菜溢价会飙升至10%以上,而过去一周的上涨不应被视为单纯的投机性繁荣,比特币可能还有上升空间。

  • Solana联创称Solana总是比ZK快,Matter Labs CEO予以反驳

    Solana 联合创始人 toly 于 X 回复网友时表示:“ZK 比传统计算慢。所以 Solana 总是比 ZK 快,因为没有宗教原因限制全节点容量。” 对此,ZKsync 开发商 Matter Labs 首席执行官 Alex Gluchowski 回应称:“ZK 总是比 Solana 更快,因为它是由数学而不是验证器来保护的,这意味着一个或几个验证器(用于冗余)就足够了,你不需要等待数千个节点之间达成共识。”

  • 美众议员Mike Flood:期待与下一任SEC主席合作撤销反加密银行政策SAB 121

    美国众议院将对众议员 Mike Flood 近日表示:“尽管遭到广泛反对,SAB 121 仍作为一项法规有效运作,尽管它从未经过正常的《行政程序法》程序。” Flood 称:“我期待与下一任 SEC 主席合作,撤销 SAB 121。无论 Gary Gensler 主席是自行离职,还是特朗普总统将履行其(解雇 Gensler 的)承诺,新政府都有绝佳的机会开启 Gensler 离任后的新时代。” 其补充道:“Gensler 反对今年早些时候在两党基础上通过众议院的数字资产监管框架,这应该不足为奇。71 名民主党人与众议院共和党人一起通过了这一常识性框架。尽管民主党领导的参议院拒绝接受,但它代表了加密货币的突破时刻,并可能在明年 1 月下一届国会开始时为统一的共和党政府的工作提供信息。”

  • 印度亿万富翁阿达尼因贿赂案被美SEC传唤解释立场

    印度亿万富翁高塔姆·阿达尼及其侄子萨加尔·阿达尼被美国证券交易委员会(SEC)传唤,要求他们解释有关为赢得太阳能发电合同而支付超过2.5亿美元贿赂的指控。据印度报业托拉斯(PTI)报道,传票已送达阿达尼家族位于印度西部城市艾哈迈达巴德的住所,要求他们在21天内作出回复。PTI援引11月21日通过纽约东区法院发出的通知称,如果阿达尼家族未能按时回复,将对他们作出缺席判决。

  • 美SEC:2024财年共采取583项执法行动,获得82亿美元史上最高财政救济

    美国 SEC 近日宣布,2024 财年执法力度创历史新高,凸显了其为维护市场诚信和投资者保护所做的努力。该机构透露:“2024 财年共提起 583 项执法行动,同时获得了 82 亿美元的财政救济(financial remedies),这是 SEC 历史上的最高金额。” 与 2023 年相比,SEC 发起的执法行动增加了 14%。SEC 主席 Gary Gensler 对执法部门的作用表示赞赏:“执法部门是坚定的警察,无论在何处,都会遵循事实和法律追究违法者的责任。正如今年的结果表明的那样,该部门有助于促进我们资本市场的诚信,使投资者和发行人都受益。”

  • PermaDAO ·

    AI 的暴力美学,Arweave 的抗衡之道

    AI 普及加剧信息操控隐蔽性,中心化与算法偏见风险凸显。本文剖析信息暴力升级,并探讨 Arweave 如何以去中心化(永久)存储与不可篡改特性,重建信任与保障信息透明。

  • IOST_Official ·

    IOST 与 PetPals 达成合作,IOST 链上首个宠物 Meme 游戏将于 Q4 上线

    2024 年 11 月 22 日,IOST 与区块链游戏开发团队 PetPals 建立战略合作伙伴关系。PetPals 正式成为 IOST 生态节点合伙人,并将于今年第四季度推出 IOST 链上首款创新型宠物 Meme 游戏 —— PetPals。

  • PinaxChinese ·

    The Graph Indexer线上会议 #184

    The Graph 的TAP迁移截止日期是2024年12月3日,大约34%的索引器已经升级,占查询量的81.6%。问答讨论的重点是TAP的配置设置,特别是关于RAV(收据聚合凭证)请求和管理非聚合费用,建议从默认值开始并根据查询量进行调整。

  • DaosViews ·

    DeSci(去中心化科学)引发Meme热潮

    尽管这些数据支持是否真实可信及有意义仍有待观察,但起码它稍微有了点“理性”,不是纯粹的赌博。

  • IOST_Official ·

    什么是 MIGA? IOST 生态即将迎来哪些发展?

    IOST 基金会正式宣布启动 “ Make IOST Great Again ”(MIGA)活动!这是一项战略性倡议,旨在通过一系列重要的合作和发展,振兴 IOST 生态系统。(注:该活动于 2024 年 11 月 20 日正式启动,会分阶段进行,并即将开启第一阶段。)