DEUS被攻击事件的逻辑漏洞分析

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

中国北京时间2023年5月6日,DEUS的稳定币DEI合约存在burn逻辑漏洞,攻击者已盈利约630万美金。

SharkTeam针对此事件进行了技术指标分析,并总结了安全防护方式。希望未来的项目能以此为教训,共同构建区块链行业的安全屏障。

一、事件分析

攻击者详细地址:0x08e80ecb146dc0b835cf3d6c48da97556998f599

攻击合约:0x2b1a7a457a2c55ba1e03c087cc3e4e5b05b6360f

漏洞合约:0xDE1E704dae0B4051e80DAbB26ab6ad6c12262DA0

攻击买卖:0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3

该攻击买卖交易执行过程:1. 首先,攻击者(0x08e80ecb)启用了攻击合约(0x2b1a7a45)的攻击函数公式。2. 在攻击函数中,启用漏洞合约(0xDE1E704d)的approve->burnFrom->transferFrom函数公式。3. 在transferFrom函数公式中,将110万DEI迁移到我们的帐户,最后通过正确的swap将DEI换成USD并转移至攻击者(0x08e80ecb)。

漏洞剖析:在burnFrom函数中,直接将sender对account的allowance与account对sender的allowance展开了拷贝。

攻击者主要对漏洞合约(0xDE1E704d)进行了approve的最高值,然后启用burnFrom函数公式键入amount=0,即直接将漏洞合约对攻击合约的approve值设为最高。

接着立即启用tranferFrom函数公式将110万DEI迁移到我们的详细地址,最终通过pair买卖兑换为USD进行攻击。

漏洞汇总:此次事件的根源在于漏洞合约(RouteProcessor2)burnFrom的管理权限问题或_allowance参数传递不正确的问题。实际上,需要根据项目的具体需求进行调整,可以通过设定合适的管理权限或修改_allowance[_msgSender][account]为_allowance[account][_msgSender]等方式进行处理。

二、安全建议针对此次攻击事件,大家在实施过程中应注意以下常见问题:1. 在开发与财务相关的逻辑运算时,应仔细考虑领域模型的准确性。2. 此次漏洞的burnFrom函数是在4月16日进行合约更新时引入的。因此,在项目发布或更新合约之前,必须经过第三方技术专业财务审计团队对合约进行审计。

关于我们SharkTeam的愿景是全方位保障全球Web3的安全性。我们的精英团队由来自全国各地的资深安全专业人员和高级科学研究人员组成,熟练掌握区块链智能合约的底层基础理论,并提供专业的智能合约财务审计、链上剖析、紧急处置等服务。我们已与Polkadot、Moonbeam、Polygon、OKC、HuobiGlobal、imToken、ChainIDE等区块链生态体系的重要参与者建立了长期合作伙伴关系。

官方网站:https://www.sharkteam.orgTwitter:https://twitter.com/sharkteamorgDiscord:https://discord.gg/jGH9xXCjDZTelegram:https://t.me/sharkteamorg

转载:驼鸟区块链

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/29302.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年07月26日
下一篇 2023年07月26日

相关推荐

  • 合约倍数是什么意思,合约里的倍数是什么意思

    一、合约里的倍数是什么意思合约里的倍数是指交易金额相对于标的物的数量的放大程度。详细解释如下:在金融业务中,合约通常指的是金融衍生品合约,如期货、期权等。这些合约允许投资者通过少量现金投入,就能参与到大量的标的资产交易中。倍数在这里起到了关键作用,它代表了

    2024-12-23 10:00:01
    2 0
  • 比特币怎么做期货,什么是比特币期货合约

    一、币圈包括期货吗币圈里面的期货不能叫期货,因为这不是正经的合规合法的期货,所以叫了一段时间后,被币圈里面的人改了名字,现在币圈里面的期货都叫“合约”。但是长时间那么叫也习惯了,异客在这里就暂时先不改这称呼了,毕竟换汤不换药,大家都知道是什么回事。异客一直

    2024-12-22 19:00:01
    5 0
  • 永续合约什么情况下爆仓,永续合约爆仓了会欠钱吗

    一、永续合约会爆仓吗永续合约会通过自动减仓来减少对手的盘仓位,这样就降低了市场风险。同时永续合约的价格设计机制,也让其不容易被恶意爆仓,但是永续合约也会爆仓,只不过没有分摊和插针。所以永续合约投资并不是没有爆仓的风险,就看投资者怎么去操作了。二、永续合约爆

    2024-12-22 16:00:01
    3 0
  • 虚拟币区块怎么查询,如何查区块链合约地址信息

    一、怎么查询所有区块链公链公链在哪里查询公链在浏览器查询。随着区块链的大热,越来越多的科技公司开始研究和开发区块链。在区块链迅速发展的同时,也有少部分项目方打着区块链的名号,在市面上进行招摇撞骗。如何判断公链真假,对于现在许多想要进行数字货币交易的群体来说

    2024-12-22 04:30:01
    4 0
  • hotcoin交易平台是什么,Hotcoin是什么合约交易所

    一、热币Hotcoin交易所靠不靠谱1. Hotcoin(热币)交易所是一个靠谱的平台,拥有全球最大的用户增长之一。2.该平台专注于提供数字资产兑换交易服务,并且致力于区块链技术的创新与研发。3. Hotcoin旨在为全球用户提供一个安全、便捷、高效的数字资产兑换环境,努力成为全球领

    2024-12-20 10:00:01
    7 0
  • usdt现货是什么意思,usdt永续合约是什么意思

    一、砸盘吸筹是什么意思庄家坐庄时的巨大资金要想悄无声息地就进驻到某一只上市公司股票中,也非一日一时之功。往往需要在相对的价格低位上反复震荡,或者通过长期横盘的方式令短线客忍无可忍.最后敬而远之:或者通过上蹄下跳的股价跳跃方式引诱散户难耐寂寞而低抛高吸,使之最

    2024-12-18 02:30:01
    10 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载