“一两拨千金”—— Crosswise 攻击事件分析

最新推荐文章于 2024-07-24 10:35:36 发布
最新推荐文章于 2024-07-24 10:35:36 发布
阅读量1.8k 收藏 1
点赞数
文章标签: 安全 以太坊 区块链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/122619746
版权

前言

2022 年 1 月 18 日,知道创宇区块链安全实验室 监测到 BSC 上 Crosswise 遭遇攻击,此次攻击导致协议损失 87.9 万美元。

攻击者仅用 1 个 CRSS token 便获取 Crosswise MasterChef 池中价值 87.9 万美元的 692K 个 CRSS。实验室将对本次事件深入跟踪并进行分析。

基础信息

攻击交易哈希:

0xd02e444d0ef7ff063e3c2cecceba67eae832acf3f9cf817733af9139145f479b

攻击者地址:

0x748346113B6d61870Aa0961C6D3FB38742fc5089

攻击合约:

0x530B338261F8686e49403D1b5264E7a1E169F06b

MasterChef:

0x70873211CB64c1D4EC027Ea63A399A7d07c4085B

CrosswiseRouter:

0x8B6e0Aa1E9363765Ea106fa42Fc665C691443b63

CRSS:

0x99FEFBC5cA74cc740395D65D384EDD52Cb3088Bb

攻击核心

此次攻击的核心在于,Crosswise 中的MasterChef合约Owner地址设置即transferOwnership函数能够被攻击者绕过,使得攻击者能够成为新的Owner并对MasterChef池子进行攻击利用。我们将本次攻击过程分为两个阶段进行分析:获取Owner权限攻击和MasterChef池攻击。

获取Owner权限攻击

1.由于在MasterCh

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
crosswise-crx插件
04-04
语言:English 横向地 Crosswise是一个Web应用程序,用于尽可能快速,简单地保存和搜索参考注释。 这款Chrome扩展程序可让您将访问的所有网址添加为书签,并包含已保存在横向帐户中的附加便笺。
CertiK:SushiSwap智能合约漏洞事件分析
systemino的博客
09-02 578
北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况独步下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。 技术解析 MasterChief.sol:131 图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterC...
甲骨文5000万美元收购以色列大数据公司Crosswise
weixin_33762130的博客
08-17 160
大数据巨头甲骨文公司日前宣布已经收购以色列大数据公司Crosswise。Crosswise是一家跨设备广告公司,可以识别同一用户拥有的不同设备,从而向这些设备推送用户感兴趣的广告。 收购的细节还没有公布,但知情人士透露成交价在5000万美元左右。 甲骨文公司在一份声明中称Crosswise的技术将应用到Oracle的数据云平台,而平台会“摄取第三方数据...
汇编语言源程序基础分析--跑马灯
weixin_53113130的博客
09-18 1985
以LED跑马灯汇编代码为例,介绍汇编代码基础知识。
五子棋代码——请各位指教指教——只到判赢
冷锋SJ遗忘
10-13 181
package sj.Gobang_V04; import java.awt.Point; import java.util.ArrayList; /** * 游戏属性接口 * * @author Songjie_xuan * @time 2014-09-30 * */ public interface Gobang_Attribute { p...
Crosswise Web Calendar-开源
04-28
Crosswise Web Calendar是一款开源的在线日历应用,旨在为社区组织提供一个强大的平台来规划、协作和分析事件。它的核心特点在于其模块化的数据分析和可视化功能,这些特性使其超越了传统日历应用的简单时间管理,...
横向「crosswise」-crx插件
03-24
横向 Crosswise是一个Web应用程序,用于尽可能快速,简单地保存和搜索参考注释。 这款Chrome扩展程序可让您将访问的所有网址添加为书签,并包含已保存在横向帐户中的附加便笺。 支持语言:English
专业英语词汇木结构施工.doc
09-29
47. **crosswise**:交叉地,描述物体或动作呈横贯的方式。 这些词汇是木结构施工领域的基础,掌握它们有助于理解相关技术文献和进行有效沟通。在实际施工中,理解并运用这些术语能够确保工程的安全、质量和效率。
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 752
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
最新发布
lupai的博客
07-24 298
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 935
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 573
一站式云安全托管限时试用 开启全能高效攻防
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 931
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
简析漏洞生命周期管理的价值与关键要求
XRY_XIAO的博客
07-22 974
简析漏洞生命周期管理的价值与关键要求
防火墙--内容安全
banliyaoguai的博客
07-20 1190
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
服务攻防-框架安全(漏洞复现)
m0_74402888的博客
07-21 540
Node.js库中的systeminformation软件包中存在一个命令注入漏洞(CVE-2021-21315。运行dockers容器。
安全防御:双机热备
AXDRXS的博客
07-19 1411
因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断.
探究大语言模型(LLM)漏洞和安全优秀实践
java_cjkl的博客
07-21 1064
你可能已听说过LLM强势亮相,至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练,可以执行各种各样的语言任务:翻译、文本生成和问题回答等。有几个LLM家族和架构,最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能,但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程,这种类型的集成特有的新漏洞随之出现。
构建自主可控的工业操作系统,筑牢我国工业安全堡垒
Kyland2020的博客
07-22 329
鸿道(Intewell)工业操作系统自推出以来,屡获国内国际权威认可,其功能和性能可以替代VxWorks操作系统,并通过工信部电子五所源代码100%自主可控测评,在加拿大宇航局全球嵌入式操作系统分析评比中位列第三,获得2019年首届中国工业互联网大赛一等奖,并与国际工业巨头西门子工业大脑技术共同获得联合国工业发展组织2020年首届全球工业智能领域“湛卢奖”技术创新的荣誉。正如华为推出的鸿蒙操作系统为我国的移动互联网保驾护航,东土的鸿道操作系统为我国的工业互联网提供坚实保障,两者并驾齐驱。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值