Cointime

Cointime

Download App
iOS & Android

Sói trắng đeo găng tay rỗng——Phân tích bị tấn công YIEDL

Validated Project

Bởi: Sissice

lý lịch

Vào ngày 24 tháng 4 năm 2024, theo thông tin tình báo từ nhóm bảo mật SlowMist, dự án YIEDL trên chuỗi BSC đã bị tấn công và kẻ tấn công đã kiếm được khoản lãi khoảng 300.000 USD. Nhóm bảo mật SlowMist đã phân tích vụ việc tấn công và chia sẻ kết quả như sau:

https://twitter.com/SlowMist_Team/status/1782962346039898473

Thông tin liên quan

Địa chỉ của kẻ tấn công:

0x322696471792440499b1979e0a440491e870667a

Địa chỉ hợp đồng bị tấn công:

0x4edda16ab4f4cc46b160abc42763ba63885862a4

Một phần của giao dịch tấn công:

0x49ca5e188c538b4f2efb45552f13309cc0dd1f3592eee54decfc9da54620c2ec

0x3629ad588ac120163792e92b6c43bd4bdc5bf35cac66eb7f3a0267df93abc849

0x0a89b8670c40b4067b9522a5933c3bf8c44c968103aa642b04c65d49ad9e6457

0x5e468cba495e5f6165418fb9d87d824309c54261055425f33f588dd3b3abcea

0x8710034dadeccfc8c26f651c612f613fffdece6e2f9957b9ec8ab843218168c1d

0x9da398ed274c8cfa774b36003fa8c930d3430d0fc5889b5008830fd6463f68a9

0x2e3d4332f66a334e0170187011ed673dc222f95bf4443b618e08f8052437ef7a

0x5a15fdc57c35f2305aaa0bb95b109ad412b17406d737d137190fe5867393339d

0x8ef3765665cd849cdf9132ab37caf6aa0f891e1f7d9f418f86a6ab6ea38b6f5b

0xa9fa04b033afbed2218679aea92e9429a5f7839d0b4c65358ebf9ba20efcd021

0xa9fa04b033afbed2218679aea92e9429a5f7839d0b4c65358ebf9ba20efcd021

Tấn công cốt lõi

Cốt lõi của cuộc tấn công trong sự cố này là việc không xác minh đầy đủ các tham số bên ngoài mà người dùng nhập vào khi sử dụng hợp đồng để xử lý lệnh gọi chức năng quy đổi. Tham số này là dữ liệu quan trọng kiểm soát việc trao đổi tài sản và thường chứa các hướng dẫn giao dịch hoặc thông tin định tuyến cụ thể. Kẻ tấn công thực hiện chuyển giao tài sản trái phép bằng cách xây dựng tham số bên ngoài này một cách có ác ý.

Phân tích giao dịch

Kẻ tấn công gọi hàm quy đổi nhiều lần để yêu cầu quy đổi tài sản có số lượng bằng 0. Bản thân hành vi này có vẻ vô hại vì khi số lượng quy đổi bằng 0, nó thường không kích hoạt bất kỳ dòng tiền thực tế nào:

Tuy nhiên, theo chức năng đổi quà, chúng ta có thể thấy rằng chức năng này sẽ duyệt qua danh sách tài sản được hợp đồng cho phép và khi tài sản hiện tại không phải là tài sản mà người dùng muốn nhận, nó sẽ phân tích theo tham số dataList đến và bên ngoài gọi chức năng tương ứng trong Bộ định tuyến 1inch để thực hiện các hoạt động trao đổi tài sản.

Do dataList được truyền ở đây chưa được kiểm tra và xác minh nên kẻ tấn công có thể xây dựng các giá trị độc hại để thực thi chức năng unoswapTo của hợp đồng Bộ định tuyến 1inch nhằm thực hiện các hoạt động trao đổi mã thông báo có thể kiểm soát tùy ý.

Kết quả là Token WBNB-ADA trong hợp đồng Yiedl BULL đã được đổi lấy BNB đến địa chỉ của kẻ tấn công.

Bằng cách này, kẻ tấn công có thể kích hoạt hoạt động trao đổi mã thông báo được kiểm soát bởi tham số dataList mà không thực sự sở hữu bất kỳ cổ phiếu mua lại nào, huy động vốn hợp đồng nhiều lần mà không tiêu tốn tài sản của chính mình và rời khỏi thị trường để kiếm lời.

Tóm tắt

Bằng cách này, kẻ tấn công có thể kích hoạt hoạt động trao đổi mã thông báo được kiểm soát bởi tham số dataList mà không thực sự sở hữu bất kỳ cổ phiếu mua lại nào, huy động vốn hợp đồng nhiều lần mà không tiêu tốn tài sản của chính mình và rời khỏi thị trường để kiếm lời.

Tóm tắt

Cốt lõi của cuộc tấn công này là chức năng không xác minh đầy đủ tham số dataList do người dùng nhập, cho phép kẻ tấn công xây dựng dữ liệu bên ngoài độc hại và sử dụng 1inch để đánh cắp mã thông báo trong hợp đồng. Nhóm bảo mật SlowMist khuyến nghị bên dự án triển khai cơ chế xác minh tham số nghiêm ngặt trong quá trình phát triển, đặc biệt là khi cấp vốn cho các hoạt động trong hợp đồng, để đảm bảo rằng tất cả các lệnh gọi bên ngoài tuân thủ các thông số kỹ thuật hành vi dự kiến ​​và tiến hành kiểm tra bảo mật kỹ lưỡng đối với logic của hợp đồng, để ngăn chặn sự cố tương tự xảy ra lần nữa.

Các bình luận

Tất cả bình luận

Recommended for you

  • Bộ Tư pháp Hoa Kỳ: Hai công dân Trung Quốc bị bắt vì cáo buộc lừa đảo ít nhất 73 triệu USD tiền đầu tư tiền điện tử

    Theo trang web chính thức của Bộ Tư pháp Hoa Kỳ, một bản cáo trạng ở Quận Trung tâm California đã được công bố ngày hôm qua, buộc tội hai công dân Trung Quốc bị cáo buộc đóng vai trò chính trong kế hoạch rửa tiền liên quan đến gian lận đầu tư tiền điện tử. Daren Li, 41 tuổi, là công dân có hai quốc tịch Trung Quốc và St. Kitts và Nevis, đồng thời là cư dân của Trung Quốc, Campuchia và Các Tiểu vương quốc Ả Rập Thống nhất. Anh ta bị bắt vào ngày 12 tháng 4 tại Sân bay Quốc tế Hartsfield-Jackson Atlanta và sau đó được chuyển đến Quận Trung tâm của California. Yi Cheng Zhang, 38 tuổi, quốc tịch Trung Quốc hiện cư trú tại Temple City, California, đã bị bắt hôm qua tại Los Angeles. Hôm nay, họ bị buộc tội cầm đầu một kế hoạch rửa tiền trị giá ít nhất 73 triệu USD liên quan đến một vụ lừa đảo đầu tư tiền điện tử quốc tế. Những vụ bắt giữ này, được thực hiện với sự hỗ trợ của các đối tác quốc tế và Hoa Kỳ của chúng tôi, thể hiện cam kết liên tục của Bộ Tư pháp trong việc chống lại toàn bộ hệ sinh thái tội phạm mạng và ngăn chặn gian lận trên mọi thị trường tài chính.

  • Bản tin tối 17/5

    1. ETH vượt mức 3.000,00 USD

  • Türkiye đề xuất dự luật tăng cường quy định về tiền điện tử

    Türkiye đã đề xuất một dự thảo luật nhằm giảm thiểu rủi ro khi giao dịch tài sản tiền điện tử trong nước. Dự luật do chủ tịch đảng cầm quyền Abdullah Gule đề xuất, bao gồm nhiều điều khoản khác nhau liên quan đến tài sản tiền điện tử và sẽ được Ủy ban Thị trường Vốn (CMB) thực hiện. Dự luật nhằm mục đích giới thiệu một chế độ cấp phép cho các công ty tiền điện tử và đưa các công ty này vào phạm vi quản lý của cơ quan quản lý. Ngoài ra, dự luật sẽ cấm các trung gian tiền điện tử không có nguồn gốc địa phương. Dự luật này dự kiến ​​sẽ cải thiện sự tuân thủ của Thổ Nhĩ Kỳ đối với tài sản tiền điện tử, giải quyết những lời chỉ trích từ Lực lượng đặc nhiệm hành động tài chính (FATF) và làm cho hệ sinh thái tiền điện tử của đất nước an toàn hơn.

  • Trung Quốc và Hồng Kông mở rộng thí điểm nhân dân tệ kỹ thuật số, cho phép người dân Hồng Kông sử dụng ví điện tử

    Cơ quan tiền tệ Hồng Kông và Ngân hàng Nhân dân Trung Quốc đã mở rộng thí điểm đồng Nhân dân tệ kỹ thuật số để cho phép người dân Hồng Kông sử dụng ví Nhân dân tệ điện tử. Trung Quốc và Hồng Kông đã và đang tiến hành thí điểm đồng nhân dân tệ kỹ thuật số xuyên biên giới. Cơ quan tiền tệ Hồng Kông và Ngân hàng Nhân dân Trung Quốc đã mở rộng phạm vi thí điểm đồng Nhân dân tệ kỹ thuật số xuyên biên giới, cho phép người dân Hồng Kông sử dụng ví Nhân dân tệ điện tử. Đồng nhân dân tệ kỹ thuật số là loại tiền kỹ thuật số của ngân hàng trung ương Trung Quốc (CBDC). Người áp dụng chỉ cần sử dụng số điện thoại di động của họ để thiết lập ví và nó có thể được sử dụng cho cái gọi là thanh toán xuyên biên giới, chẳng hạn như thanh toán cho nhà bán lẻ, nhưng không được sử dụng để chuyển khoản giữa các cá nhân. Ví có thể được sử dụng ở Khu vực Vịnh Lớn và các khu vực khác của Trung Quốc đại lục nơi các dự án thí điểm đang được tiến hành. Cơ quan tiền tệ Hồng Kông có kế hoạch tiếp tục hợp tác với Ngân hàng Nhân dân Trung Quốc để mở rộng ứng dụng đồng Nhân dân tệ điện tử. Đặc khu hành chính Hồng Kông cũng đang thử nghiệm CBDC của riêng mình, hay đồng đô la Hồng Kông điện tử.

  • WSJ: Nền tảng điện toán đám mây GPU CoreWeave huy động được 7,5 tỷ USD để thúc đẩy điện toán trí tuệ nhân tạo

    CoreWeave, một công ty khởi nghiệp điện toán đám mây AI được hỗ trợ bởi Nvidia, đã huy động được 7,5 tỷ USD từ các nhà đầu tư bao gồm Blackstone, The Carlyle Group và BlackRock, Wall Street Journal đưa tin. CoreWeave vừa hoàn thành vòng tài trợ vốn cổ phần trị giá 1,1 tỷ USD hai tuần trước, định giá nó ở mức 19 tỷ USD. Công ty có 14 trung tâm dữ liệu vào cuối năm ngoái và có kế hoạch tăng gấp đôi con số đó lên 28 trung tâm dữ liệu vào cuối năm nay.

  • Binance và cơ quan thực thi pháp luật Đài Loan đã cùng nhau phát hiện một vụ lừa đảo liên quan đến 6,2 triệu USD.

    Cục Tuân thủ Tội phạm Tài chính (FCC) của Binance đã hợp tác với Cục Điều tra của Bộ Tư pháp Đài Loan và Văn phòng Công tố Quận Đài Bắc để trấn áp một vụ rửa tiền quy mô lớn, phát hiện ra một vụ lừa đảo tài sản ảo trị giá 200 triệu Đài tệ (6,2 triệu USD) . Như được tiết lộ trong một tuyên bố chính thức, hoạt động này đã tạo điều kiện cho bọn tội phạm rửa những khoản lợi bất chính của chúng thông qua các giao dịch tiền điện tử. Những kẻ lừa đảo sử dụng các tài liệu chuyển tiền giả mạo, thông tin nhận dạng giả mạo và hồ sơ liên lạc của khách hàng bị thay đổi để trốn tránh sự phát hiện của cơ quan thực thi pháp luật. (Cointelegraph)

  • Türkiye đề xuất điều chỉnh luật mã hóa cho phù hợp với tiêu chuẩn quốc tế

    Đảng cầm quyền của Türkiye đã đệ trình dự thảo luật mã hóa lên quốc hội vào ngày 16 tháng 5. Dự luật tập trung vào việc cấp phép và đăng ký các nhà cung cấp dịch vụ mã hóa và điều chỉnh chúng theo các tiêu chuẩn quốc tế. Dự thảo luật nhằm mục đích cập nhật các luật hiện hành để điều chỉnh toàn diện thị trường tiền điện tử mới nổi. Các lĩnh vực trọng tâm của dự luật bao gồm bảo vệ người tiêu dùng, tính minh bạch của nền tảng và tuân thủ các quy định tài chính. Đạo luật được đề xuất nhằm mục đích điều chỉnh các nền tảng giao dịch tiền điện tử và các nhà cung cấp dịch vụ khác trong ngành, yêu cầu họ phải có giấy phép từ Ủy ban Thị trường Vốn Thổ Nhĩ Kỳ.

  • Cơ quan tiền tệ Hồng Kông: Bốn ngân hàng của CCCC là nhà khai thác ví Nhân dân tệ kỹ thuật số ở Hồng Kông

    Cơ quan tiền tệ Hồng Kông đã công bố các tổ chức tham gia thí điểm đồng Nhân dân tệ kỹ thuật số xuyên biên giới của Hồng Kông, bao gồm: 1. Các tổ chức điều hành ví Nhân dân tệ kỹ thuật số là: 1. Ngân hàng Trung Quốc, 2. Ngân hàng Truyền thông, 3. Ngân hàng Xây dựng Trung Quốc , 4. Ngân hàng Công thương Trung Quốc. 2. Các ngân hàng Hồng Kông cung cấp hỗ trợ giá trị gia tăng "FPS" cho giá trị gia tăng tài khoản RMB là: 1. China CITIC Bank (International) Limited, 2. Chong Hing Bank Limited, 3. Dah Sing Bank Limited, 4. DBS Bank (Hong Kong) Co., Ltd., 5. Fubon Bank (Hong Kong) Co., Ltd., 6. Zhongan Bank Co., Ltd. 3. Cung cấp dịch vụ giá trị gia tăng bằng đô la Hồng Kông cho Nhân dân tệ theo thời gian thực để hỗ trợ việc đánh giá lại tài khoản bằng Nhân dân tệ và đô la Hồng Kông cho: 1. Skystar Bank Limited, 2. Bank of China (Hong Kong) Limited, 3. Ngân hàng Truyền thông (Hong Kong) Limited, 4. Công ty TNHH Ngân hàng Đông Á, 5. Tập đoàn Ngân hàng Xây dựng Trung Quốc (Châu Á), 6. Ngân hàng China Merchants Wing Lung Bank Limited, 7. Ngân hàng TNHH Fulong, 8. Ngân hàng Hang Seng, 9. The Tập đoàn Ngân hàng TNHH Hồng Kông và Thượng Hải, 10. Ngân hàng TNHH Công thương Trung Quốc (Asia) Limited, 11. Ngân hàng Standard Chartered (Hồng Kông) Limited.

  • Trong 24 giờ qua, toàn bộ mạng đã thanh lý 121 triệu USD và các lệnh mua đã thanh lý 82,92 triệu USD.

    Theo dữ liệu của Coinglass, 121 triệu USD đã được thanh lý trên toàn bộ mạng trong 24 giờ qua, trong đó 82,92 triệu USD được thanh lý cho các lệnh dài và 38,32 triệu USD được thanh lý cho các lệnh ngắn. Thanh lý thanh lý Bitcoin lên tới khoảng 34,97 triệu USD và thanh lý Ethereum lên tới khoảng 20,35 triệu USD.

  • DeMan ·

    Làn gió đổi mới rune đang thổi vào thị trường NFT và Blob đã trở thành dự án phát triển nhanh nhất?

    Rune + NFT có thể trở thành một lối thoát Web3 mới không? Dự án mới này có thể đáng xem xét

    Làn gió đổi mới rune đang thổi vào thị trường NFT và Blob đã trở thành dự án phát triển nhanh nhất?

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty