知道创宇区块链安全实验室|危险的授权转账-- Li.Finance 攻击事件始末

最新推荐文章于 2024-07-23 15:41:13 发布
最新推荐文章于 2024-07-23 15:41:13 发布
阅读量2.3k 收藏 1
点赞数
文章标签: 区块链 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/123655572
版权

一、前言
北京时间3月20日晚,知道创宇区块链安全实验室 监测到以太坊上分布式跨链协议 Li.Finance 受到了攻击,攻击者执行了37次call注入获取了多个钱包中约60万美元的资产(204个ETH)。此次资产损失并没有非常大,但项目方对于攻击的处理非常积极并值得学习与肯定(见后文),目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

在这里插入图片描述

二、分析

1.攻击者相关信息
攻击tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96被攻击合约:0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1–代理合约0x73a499e043b03fc047189ab1ba72eb595ff1fc8e–逻辑合约攻击者地址: 0xC6f2bDE06967E04caAf4bF4E43717c3342680d76 – 部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E – 收款地址

2.攻击流程
攻击调用流程攻击者构造payload并调用被攻击合约0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函数
在这里插入图片描述

具体使用的Payload如下–图中选中部分即为利用授权转账(transferFrom)部分的

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Li.Finance 互操作性扩展到 Optimism
人生代码 ---- 公众号
02-06 3159
Optimism 是以太坊的第 2 层扩展解决方案。更具体地说,它是一个Optimistic Rolluplayer 2 解决方案,使用户能够以更低的成本和闪电般的速度享受以太坊的去中心...
辟谣!关于网传的ERC20 approve函数重大安全漏洞,大家不必过度慌张!
区块链大本营
06-18 2347
近期,有人发现并报道了ERC20标准的approve方法存在巨大安全漏洞,并声称该漏洞会导致所有使用该标准发布的代币存在被向量攻击的风险。该团队经过市场统计发现,目前已上...
区块链安全—详谈合约攻击(二)
Fly_鹏程万里
12-18 774
一、前言 在前文中,我们简单提及了“智能合约”的概念以及其安全属性。之后针对一些严重的事件展开合约安全的深入分析。在本文中,我们详细的介绍一下智能合约的概念,并且为大家讲述一些关于智能合约方面的攻击事例。并针对相关事例列举防御手段。 而我们知道智能合约的漏洞常存在于以太坊的Solidity中,所以本文中会有大量的合约代码分析。我也会为大家讲述相关合约分析流程。 本文为原创稿件,如有疑问大...
Li.Finance - 跨链交互,埋伏空投,超级详细的教程
人生代码 ---- 公众号
12-28 923
随着 defi,以及各种公链的发展,势必就会出现不同的链的交互的需求,可能你想从这个链跨到另外一个链,可能你想从这个链在另外一个链买卖其他币,在 DOT 波卡链还没完成成熟之前,我们要跟其...
知道创宇区块链安全风险白皮书.pdf
08-15
知道创宇区块链安全风险白皮书 用Java
知道创宇发布区块链安全整体解决方案.pdf
08-15
#资源达人分享计划#
知道创宇&腾讯-FP50优秀网络安全解决方案白皮书-2019.7-145页.pdf
09-01
知道创宇&腾讯-FP50优秀网络安全解决方案白皮书-2019.7-145页.pdf
2018上半年区块链安全报告(知道创宇、腾讯安全联合实验室)
02-01
区块链安全正受到越来越多的关注,除了广大用户特别关心的会...基于此,腾讯安全联合实验室联合知道创宇,梳理了2018 年上半年围绕区块链爆发的典型安全事件,并给出防御措施,希望尽可能帮助用户避开区块链的“雷区”
区块链的基石:工作量证明机制,如何驱动数字货币革命?
JavaEdge全是干货的技术号
07-21 895
POS会面临发token的问题,起初只有创世块上有token,意味着只有这个节点可以挖矿,所以让token分散出去才能让网络壮大,所以早期采取的是POW+POS,即第一阶段POW挖矿,第二阶段POS挖矿,后来ERC20合约token出现后,可以只存在POS的挖矿形式。相对于比特币等PoW类型的token,更加去中心化,相比PoW算法的51%算力攻击,PoS需要购买51%的token,成本更高,没有攻击意义。第一代共识机制,比特币的基础,即“按劳取酬”,你付出多少工作量,就获得多少报酬。
深耕区域市场,ATFX以投教引领市场新风向
pycxiaoy的博客
07-19 620
自创立以来,ATFX遵循“以客户为中心”的服务理念,针对不同区域市场、用户群体和多元化需求,坚持以市场用户需求为突破点,不断开发满足市场及用户实际需求的产品和服务,并提供优质有针对性、个性化、本土化和定制化的投教产品、服务及解决方案,以专业回馈市场,由此品牌取得了业界瞩目的市场成绩和不俗市场口碑,而这正是ATFX品牌充满勃勃生机、不断取得优良成绩的基础。本着“先知而后行”的服务理念,ATFX积极在全球范围内精心布局,成功在亚洲、中东、欧洲、南美以及更多新兴市场举办一系列内容丰富的投教服务活动。
区块链革命:探索Web3如何重塑数字世界
dd8989089的博客
07-19 1192
Web3作为区块链技术的重要应用范式,以其去中心化、安全和可编程性质,正在深刻地改变着我们的数字世界。通过本文的介绍,希望读者能够深入理解Web3技术在重塑数字世界中的作用和潜力,为未来的技术创新和社会进步贡献智慧和力量。
Covalent(CXT)运营商网络规模扩大 42%,以满足激增的需求
区块链蓝海
07-22 1007
Covalent Network(CXT)是领先的模块化数据基础设施层,致力于解决区块链和 AI 领域的主要挑战,包括可验证性、去中心化 AI 推理和长期数据可用性。随着 Covalent Network(CXT)网络的委托空间迅速达到 100% 的容量,且 CXT 代币 22% 的供应量被质押, Covalent Network(CXT)认识到社区对其验证基础设施的坚定承诺,并为进一步提升和去中心化网络而致力于加强其运营,增加新的运营商将是确保持续质量、可靠性和效率的关键步骤。
数据隐私保护与区块链技术的结合:新兴趋势分析
最新发布
weixin_44672358的博客
07-23 449
数据隐私保护指的是在数据收集、存储、处理和传输过程中,保护个人数据免受未经授权的访问和滥用。随着互联网的普及和数据驱动的发展,个人数据的泄露和滥用成为了一个严峻的挑战。传统的数据存储和管理方式往往依赖于集中式的数据中心,存在单点故障和数据被攻击的风险。数据隐私保护与区块链技术的结合,不仅仅是技术革新的体现,更是保护用户权益和数据安全的重要手段。随着区块链技术的不断发展和应用场景的拓展,相信在不久的将来,区块链将在数据隐私保护领域发挥越来越重要的作用。
区块链技术和系统;ZKRollup ;区块链交易打包和审查
热门推荐
ZJQ的博客
07-19 2万+
区块链技术作为一种去中心化、不可篡改且高度安全的分布式账本技术,近年来在统等多个领域展现出了巨大的应用潜力。:熟悉区块链的基本概念,如等核心技术。能够解释区块链如何工作,以及它的去中心化、透明性和安全性的基本原理。:了解并实践过至少一种或多种主流区块链平台,如等。熟悉这些平台的特性、开发环境、交易模型、智能合约编写语言(如Solidity)等。:能够,理解其在区块链上自动执行合约条款的重要性。了解智能合约的安全隐患,如重入攻击、时间戳依赖等,并知道如何避免这些问题。
从零开始学量化~Ptrade使用教程(七)——期权相关操作
V_ZQKHJL98的博客
07-19 260
可点击证券代码右侧的选,进入期权选择菜单。通过选择标的商品,认购期权和认沽期权中间的选项(包括代码、成交价、幅度%、隐波%、内在价值、时间价值等),以及认购期权或认沽期权,选择所需的期权标的商品,点击选择后返回期权交易菜单会自动填入证券代码、到期月份、交易代码(合约代码+合约名称)、委托价格。也可手动输入证券代码、到期月份、交易代码(合约代码+合约名称)等选择所要进行交易的期权,进行期权的认购或认沽。主要实现对已备兑锁定期权进行备兑解锁。主要实现期权的备兑锁定功能。主要实现期权的行权功能。
富格林:曝光提防欺诈正确方案
fgl100的博客
07-22 255
现货黄金的日内交易量是巨大的,一旦金价形成一定的趋势,是不会轻易在短时间内被扭转局面。因此,不管是新手投资者还是有经验的老手投资者都尽可能采用顺势交易的原则。首先,进行操作交易的关键一步便是挑选合适的交易平台。投资者应考虑平台的信誉、交易费用、客户服务以及是否提供模拟交易账户等因素。因为模拟交易账户给予我们在无任何资金风险的环境下练习与真实交易无差别的操作步骤,并且可以更迅速更切实地熟悉整个市场的动态。富格林悉知,黄金作为全球公认曝光的避险资产和价值储存工具,一直以来都吸引着众多投资者的目光。
全国区块链职业技能大赛国赛考题前端功能开发
本郡主是喵
07-21 936
全国区块链职业技能大赛国赛考题区块链应用前端功能开发
基于区块链的算力交易平台
ZJQ的博客
07-21 978
综上所述,基于拍卖机制的分布式可信交易流程与拍卖算法,以及多维资源统一定价模型,在关键技术上充分利用了区块链、智能合约、共识机制和数据加密等先进技术;在创新点上则体现在多维资源统一定价模型的制定、分布式可信交易流程的设计以及仿真验证与特性满足等方面。综上所述,基于区块链的算力交易平台通过智能合约、共识机制和加密算法等核心技术实现了交易的高效、透明和安全。同时,通过链上链下结合的交易处理方法、算力交易激励与资源调度机制以及面向监管友好的数据隐私安全等创新点,进一步提升了平台的竞争力和市场价值。
客户端安全:跨站脚本攻击与防御策略
此话题由知道创宇安全研究员Evi1m0提出,他是邪红色信息安全组织的创始人,他在多个平台分享过关于客户端安全的研究成果。 首先,Evi1m0通过历史案例强调了客户端安全的重要性。例如,腾讯QQ群的XSS漏洞利用了群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值