Superfluid_HQ被黑分析-ODAILY

前?

2022年2月8日，知道创宇区块链安全实验室监测到以太坊上的DeFi协议superfluid遭遇黑客攻击，损失超1300万美元。实验室第一时间跟踪本次事件并分析。

攻击涉及基础信息

Superfluid：0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

CertiK：警惕假冒FRIEND空投的网站:金色财经消息，据CertiK官方推特发布消息称，警惕假冒FRIEND空投的网站，请用户切勿与相关链接互动，已知的假冒网站会连接到一个已知的自动盗币地址。[2023/8/21 18:12:37]

攻击交易hash：0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

黑客地址：0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

Balancer Labs：警惕Uniswap上以0x6cb8开头的BAL代币局:非托管投资组合管理服务商Balancer Labs发推称，Uniswap上以0x6cb8开头的Balancer（BAL）代币是局，BAL还没有被创建。当官方代币被部署时，我们将通过此推特账号宣布。[2020/6/14]

攻击合约地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

中国互金协会区块链报告：警惕对国外开源程序的技术依赖:4月14日，中国互联网金融协会区块链研究工作组对外发布《中国区块链金融应用与发展研究报告（2020）》（下文简称《报告》）。《报告》认为，全球区块链技术正在加速演进成熟，金融领域的应用探索日渐增多，主要国家金融管理部门对区块链技术在金融领域应用持相对积极的态度。

《报告》指出，在我国，区块链技术适用的金融场景环节与应用逻辑已较为明晰，但在金融领域的应用仍存风险，比如技术层面尚难以兼顾部分金融场景对安全、功能和性能的要求；治理层面需进一步完善监管、标准、人才等有关安排；业务层面尚存模糊地带且应用创新缺少权威第三方评估等。《报告》认为，区块链技术比较适用于存在多方交易且信任基础较弱的特定金融场景，其分布式架构、块链式结构、共识机制、时间戳等技术安排有助于提升链上信息的篡改难度和可追溯性、缓解信息不对称现象，与加密技术的结合有助于提升隐私保护力度、降低数据泄露风险，而P2P网络的运用有助于在分布式环境下实现高效协同，智能合约的引入则有助于实现复杂业务流程的自动执行，可用于融资、保险科技、跨境支付、资产证券化、金融监管等场景，增加信息可信度、缓解重复交易，提高相关参与方信息交流积极性和业务处理效率，且能在一定程度上降低道德风险和操作风险。[2020/4/14]

漏洞核心

此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构，“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了伪造，达到合约的目的。

漏洞利用

为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的？

从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”，同时真“ctx”数据也被构建出来了的，只是程序在处理数据时会将callData数据与“ctx”打包成一个对象，当协议对该对象进行解码时，ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。

而构建一个假“ctx”数据也并不复杂，由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中，以下是官方示例如何构建一个假“ctx”：

总结

本次攻击事件在于协议数据处理时无条件信任来源数据，应当对用户数据与官方构造数据进行标识区分。近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：CTXATADATAALLCTX价格Hakuna MatataData LakeALLBIH币

币安app官网下载热门资讯