零时科技 || Rabby Swap合约遭受攻击事件详解

最新推荐文章于 2024-11-19 14:22:43 发布
最新推荐文章于 2024-11-19 14:22:43 发布
阅读量715 收藏 1
点赞数
分类专栏: 区块链安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37598434/article/details/127324705
版权
2022年10月12日,Rabby Swap因合约漏洞遭受攻击,允许攻击者任意转移用户资产。攻击者通过部署合约,利用_swap方法中的参数可控性进行资金盗取。安全团队建议用户撤销所有对Rabby Swap的授权,并呼吁合约进行严格参数判断和多次安全审计。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

0x1 背景

2022年10月12日,Rabby Swap合约中存在疑似任意用户资产转移漏洞。Rabby Swap官方表示,如果有使用,请撤销所有链上所有现有的 Rabby Swap 批准。对于没有使用过 Swap 的人来说,钱包安全且不受影响。零时科技安全团队及时对该事件进行分析。

0x2 攻击交易信息

攻击者地址:

0xb687550842a24D7FBC6Aad238fd7E0687eD59d55

攻击者合约:

0x9682f31b3f572988f93c2b8382586ca26a866475

Rabby Swap合约(漏洞合约未开源):

0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1

攻击交易之一:

0x366df0c20e00666749b16ae00475b3c41834dc659ebb29e059aa9bffa892c038

受害者地址之一:

0x0753cfbc797abfce05abaacbb1e6ae032feb5f1d

授权被盗HOP Token 代币地址:

0xc5102fE9359FD9a28f877a67E36B0F050d81a3CC

0x3 攻击步骤

分析攻击者交易,可以明确攻击者交易并不复杂࿰

最低0.47元/天 解锁文章
防止对以太坊的智能合约攻击——代码分析
chinadefi的博客
01-18 500
防止对以太坊的智能合约攻击——代码分析 以太坊智能合约的特点之一是能够调用和利用来自其他外部合约的代码。 合约通常也处理以太,并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持,攻击者可以强制合约执行进一步的代码(通过一个回退函数),包括对自身的调用。 这类攻击被用于臭名昭著的DAO攻击。 了解漏洞 这种类型的攻击可能发生在合约将以太发送到未知地址时。攻击者可以在回退函数中小心地在包含恶意代码的外部地址上构造合约。 因此,当一个合约将以太发送到这个地址时,
访问 DeFi 的 5 种 MetaMask 替代方案-Frame、Rabby、XDEFI、Web3Auth、Wallet 3
chinadefi的博客
03-02 1082
访问 DeFi 的 5 种 MetaMask 替代方案-Frame、Rabby、XDEFI、Web3Auth、Wallet 3 在本文中,我们将介绍5个MetaMask替代品,它们可以用于跨以太坊和其他区块链的DeFi。 MetaMask在全球拥有数百万用户,是以太坊和其他区块链上与dapp交互的最受欢迎的Web3钱包。但随着这一领域的发展,现在有越来越多的替代 Web3 钱包可用于访问 DeFi。 使用MetaMask钱包的主要好处包括其简单性、开源性以及与大多数DeFi协议的集成性。然而,也有一些缺
区块链安全—详谈合约攻击(二)
Fly_鹏程万里
12-18 914
一、前言 在前文中,我们简单提及了“智能合约”的概念以及其安全属性。之后针对一些严重的事件展开合约安全的深入分析。在本文中,我们详细的介绍一下智能合约的概念,并且为大家讲述一些关于智能合约方面的攻击事例。并针对相关事例列举防御手段。 而我们知道智能合约的漏洞常存在于以太坊的Solidity中,所以本文中会有大量的合约代码分析。我也会为大家讲述相关合约分析流程。 本文为原创稿件,如有疑问大...
区块链安全—详谈合约攻击(一)
Fly_鹏程万里
12-18 1058
一、合约何以智能? 在前文中,我们详细的讲述了Pos、DPos、BFT等常用的落地项目中的一些共识机制。而读者在了解了共识机制的具体流程后也应该会向我一样惊共识的协议之美。在区块链中,除了共识机制以外,还有另外一种富含魅力的技术,那就是“智能合约”。智能合约的引入增强的区块链的发展轨迹,也为区块链技术带来了更多生机。 而智能合约的重要性到底是如何呢?我们应该如何看待智能合约? 提及智能合...
区块链安全—详谈合约攻击(五)
Fly_鹏程万里
12-03 576
一、前言 在上文中,我们详细介绍了sened()函数,并且用相关实例介绍了send()函数。而倘若Solidity代码开发者进行编写时没有注意相关逻辑,那么就有可能导致变量覆盖顺序不当而产生安全问题。尤其是当函数失败回滚但系统函数却没有发觉,仍然继续执行后续代码。 而本文我们将讲述合约安全中经典的“重入攻击”。简单来说,此类型攻击带来的危害极大,并且开发者在开发智能合约的时候很容易产生此问...
Paraluni合约攻击学习
Timmbe的博客
05-08 494
2022年3月13日,Paraluni合约遭受攻击,损失约170万美元 攻击交易:https://bscscan.com/tx/0xd0b4a1d4964cec578516bd3a2fcb6d46cadefe1fea5a2f18eec4c0a496e696f9 合约代码: MasterChef:https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code ParaRouter:https://bscscan.com/a
Rabby 0.1: 多链钱包功能详解 - 密码设置、链启用与地址管理
Rabby 0.1 是一款专为去中心化金融(DeFi)设计的多链钱包,它旨在帮助用户在不同区块链环境中管理私钥、验证和执行智能合约(DApp)发起的交易。这款软件的核心功能包括初始化设置、地址管理和导入导出私钥。 在...
Rabby 0.1 产品功能文档1
08-03
添加地址钱包中的地址分为以下类:助记词地址:由钱包中的助记词关联的地址(钱包中有私钥)钱包中允许存在0个或者1个助记词私钥地址:通过导私钥得到的地址
rabbitmq_pro.zip
08-28
先从概念解释上搞清楚这个定义,死信,顾名思义就是无法被消费的消息,字面意思可以这样理解,一般来说,producer将消息投递到broker或者直接到queue里了,consumer从queue取出消息进行消费,但某些时候由于特定的...
区块链安全常见的攻击——整数溢出漏洞(Integrate Overflow)和 代币溢出漏洞(Token Whale Overflow)【1】
weixin_43458715的博客
11-18 332
区块链安全常见的攻击合约和简单复现,附带详细分析——整数溢出漏洞(Integrate Overflow)【1】
区块链安全常见的攻击——自毁漏洞(Self-Destruct Vulnerability)【2】
最新发布
weixin_43458715的博客
11-19 526
区块链安全常见的攻击合约和简单复现,附带详细分析——自毁漏洞(Self-Destruct Vulnerability)【2】
以太坊智能合约安全漏洞 (1):重入攻击
henrynote的博客
08-27 8826
本文转自公众号:亨利笔记 首发于: https://hash1024.org/topics/27 本文的英文原文已有若干个中文翻译版本,但译文和原文都有错漏或不足。本文系基于译者(Henry)的理解,重新翻译并做了修正,并且加入了个人的注解和插图,力求让读者更容易领会原文的含义。为不影响阅读体验,注解没有单独标出, 可当译文 +“笔记”来阅读。感兴趣的读者可参考文末的原文地址。 虽然仍然处...
合约安全之重入攻击
xiaoyue2019的博客
07-29 1318
还记得当年的ZheDao事件,硬是让以太坊硬分叉造就了以太经典ETC。 一个月就筹集了1个多亿刀的以太啊,想都不敢想。 16年那会,要是俺就接触了合约安全多好~哈哈。那不早就财富自由了… 要学习重入攻击,需要了解如下几个基本概念 什么是gas、gas limit、gas price 什么是fallback回退函数 什么是transfer、send、call 1.gas 以太坊在区块链上实现了一个运行环境,被称为以太坊虚拟机(EVM)。每个参与到网络的节点都会运行都会运行EVM作为区块验证协议的一部分
合约安全】重入 (Reentrancy) 攻击
热门推荐
weixin_43742184的博客
02-17 1万+
重入(Reentrancy)攻击合约攻击中比较常见的攻击手段。黑客利用自己攻击合约中的 fallback() 函数和多余的gas将合约中本不属于自己的 ETH 转走。
智能合约的安全问题
张童鞋
11-03 8722
前言本文主要总结以太坊智能合约的安全漏洞。新加坡国立大学的Loi Luu提出了现在的智能合约存在的几种安全漏洞1。然而,由于智能合约目前还只是初级阶段,相信各种安全问题会不断的发现。智能合约中的安全漏洞交易顺序依赖合约交易顺序依赖就是智能合约的执行随着当前交易处理的顺序不同而产生差异。例如,有两个交易T[i]和T[j],两个区块链状态S[1]和S[2],并且S[1]状态处理完交易T[j]后才能转化为
智能合约之可重入攻击
u010304442的博客
04-04 3037
以太坊智能合约到现在,出现了不少由于合约代码不严谨,导致黑客利用合约代码漏洞进行攻击来获取暴利。接下来我为大家来介绍一下常见的合约漏洞类型,包含重入攻击,短地址攻击,数据溢出攻击,可预测随机数攻击,篡改实践攻击等。下面大家介绍一下重入攻击。 ...
零时科技|如何在链上复现安全漏洞?
m0_37598434的博客
03-02 1万+
在链上复现漏洞时,需要明确上链的类型及可相关联的钱包。之后通过领取测试币,部署合约,发起交易,从而实现链上智能合约的测试。
区块链安全100问 | 第七篇:智能合约审计流程及审计内容
m0_37598434的博客
08-16 5596
零时科技——专注于区块链安全领域 深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。 零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。 前言 .
区块链安全100问 | 第八篇:智能合约自动化审计介绍
m0_37598434的博客
08-23 4744
零时科技——专注于区块链安全领域 深圳零时科技有限公司(简称:零时科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。 零时科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。 前言 当前区
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值