OpynETHPut逻辑漏洞分析:成都链安深度剖析

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

一、事件简述

8月5日凌晨四点,有用户在opyn论坛反馈自己的账户余额无故消失,并有用户发现可疑的交易信息。

Opyn项目方对情况进行初步分析后回应表示,已经转移了资金,并正在寻找问题原因。

截至发稿前,官方发文回应此次事件,表示遭到黑客攻击,并已对可能遭受攻击的资产进行转移。但此次漏洞只涉及ETH合约,并不影响其他合约。

成都链安-安全实验室第一时间对本次事件进行跟踪分析,发现了攻击者的合约地址。

攻击者的攻击方式如下:1. 攻击者调用合约向合约发送USDC增加抵押,并得到合约币oETH。2. 攻击者调用合约发送ETH进行抵押,并销毁oETH以赎回自己的USDC。3. 攻击者赎回自己抵押的ETH。

二、技术分析

以交易0x56de6c4bd906ee0c067a332e64966db8b1e866c7965c044163a503de6ee6552a为例,攻击者通过合约对另一个合约发动攻击。

攻击者调用了addERC20CollateralOption函数,向合约中发送了一定数量的USDC。接着,攻击者调用issueOTokens函数铸币oETH并发送给了自己。

随后,攻击者的vault参数更新了。

最后,攻击者进行了oETH兑换。

通过调用exercise函数,攻击者获得了两次USDC,从而获得了利润。

总结建议

此次事件中,攻击者利用了exercise函数的逻辑缺陷。此函数在进行最后转账前并未验证调用者是否有权限赎回此地址的USDC,只是简单的验证了地址是否可以赎回。

属于代码层的逻辑漏洞,并且根据官方回复,此合约是经过安全审计的。成都链安在此提醒各项目方:1. 项目上线前应当进行足够有效的安全审计,最好是多方审计。2. 对于合约的应当设置暂停合约交易等功能,在发生安全事件时,可以以保证资金安全。3. 安全是一个持续的过程,绝非一次审计就能保平安,与第三方安全公司建立长期的合作至关重要。

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/53709.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年08月12日
下一篇 2023年08月12日

相关推荐

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载