奇趣腾讯分分彩

收藏本站 网站导航 Monday, April 18, 2022 星期一
  • 微信

预言机被黑客任意利用什么时候是个头?Rikkei Finance被攻击事件分析_CertiK_火星财经

来源 中金网 2天前
摘要: 攻击者用被操纵的价格借到了346,199USDC。来源于火星财经专栏作家CertiK

  区块天眼APP讯 : 北京时间2022年4月15日11点18分,CertiK审计团队监测到Rikkei Finance被攻击,导致约合701万元人民币(2,671 BNB)资产遭受损失。

  由于缺乏对函数`setOracleData`的访问控制,攻击者将预言机修改为恶意合约,并获取了从合约中提取USDC、BTCB、DAI、USDT、BUSD和BNB的权限。攻击者随后将这些代币全部交易为BNB,并通过tornado.cash将这些BNB转移一空。

  攻击步骤

  ①攻击者向rBNB合约发送了0.0001个BNB以铸造4995533044307111个rBNB。

  ②攻击者通过公共函数`setOracleData()`将预言机设置为一个恶意的预言机。

  ③由于预言机已被替换,预言机输出的rTokens价格被操纵。

  ④攻击者用被操纵的价格借到了346,199USDC。

  ⑤攻击者将步骤4中获得的USDC换成BNB,并将BNB发送到攻击合约中。

  ⑥攻击者重复步骤4和5,耗尽BTCB、DAI、USDT和BUSD。

  ⑦攻击者使用函数`setOracleData()`再次改变预言机,还原了该预言机的状态。

  n合约漏洞分析

  Simple Price预言机 :

  http://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code

  Cointroller: http://bscscan.com/address/0x00aa3a4cf3f7528b2465e39af420bb3fb1474b7b#code

  资产地址: Rtoken 0x157822ac5fa0efe98daa4b0a55450f4a182c10ca

  新的(有问题的)预言机:

  0xa36f6f78b2170a29359c74cefcb8751e452116f9

  原始价格: 416247538680000000000

  更新后的价格: 416881147930000000000000000000000

  Rikket Finance 是利用Cointroller中的SimplePrice预言机来计算价格的。然而,函数`setOracleData()`没有权限控制,也就是说它可以被任何用户调用。攻击者使用自己的(恶意的)预言机来替换原有的预言机,并将rToken的价格从416247538680000000000提升到4168811479300000000000000。

  n资产去向

  攻击者在两次交易中获得了2671枚BNB(价值约701万人民币)。攻击者已使用tornado.cash将所有的代币进行了转移。

  n其他细节

  漏洞交易:

  ● http://bscscan.com/tx/0x4e06760884fd7bfdc076e25258ccef9b043401bc95f5aa1b8f4ff2780fa45d44

  ● http://bscscan.com/tx/0x93a9b022df260f1953420cd3e18789e7d1e095459e36fe2eb534918ed1687492

  相关地址:

  ● 攻击者地址:

  0x803e0930357ba577dc414b552402f71656c093ab

  ● 攻击者合约:

  0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209

  0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f

  ● 恶意预言机:

  http://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f

  http://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9

  ● 攻击者地址:

  0x803e0930357ba577dc414b552402f71656c093ab

  ● 攻击者合约:

  0x9aE92CB9a3cA241D76641D73B57c78F1bCF0B209

  0xe6df12a9f33605f2271d2a2ddc92e509e54e6b5f

  ● 恶意预言机:

  http://bscscan.com/address/0x99423d4dfce26c7228238aa17982fd7719fb6d7f

  http://bscscan.com/address/0xa36f6f78b2170a29359c74cefcb8751e452116f9

  ●被攻击预言机地址:

  http://bscscan.com/address/0xd55f01b4b51b7f48912cd8ca3cdd8070a1a9dba5#code

  写在最后

  该次事件可通过安全审计发现相关风险。CertiK的技术团队在此提醒大家,限制函数的访问权限是不可忽略的一步。

  本文来源:CertiKn原文标题:预言机被黑客任意利用什么时候是个头?Rikkei Finance被攻击事件分析声明:本文为入驻“火星号”作者作品,不代表火星财经官方立场。n转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。 未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。n提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。免责声明:作为区块链信息平台,本站所提供的资讯信息不代表任何投资暗示,本站所发布文章仅代表个人观点,与火星财经官方立场无关。虚拟货币不具有法定货币等同的法律地位,参与虚拟货币投资交易存在法律风险。火星财经反对各类代币炒作,请投资者理性看待市场风险。n语音技术由科大讯飞提供关键字:预言机合约攻击

更多区块链消息,请关注下载区块天眼APP,全球区块链监管查询APP 。

免责声明:中金网发布此信息目的在于传播更多信息,与本网站立场无关。中金网不保证该信息的准确性、真实性、完整性、有效性等。相关信息并未经过本网站证实,不构成任何投资建议,据此操作,风险自担。
天眼经纪商
天眼交易所
猜你喜欢