零时科技 || Rabby Swap合约遭受攻击事件详解

最新推荐文章于 2022-10-26 18:20:05 发布
最新推荐文章于 2022-10-26 18:20:05 发布
阅读量630 收藏 1
点赞数
分类专栏: 区块链安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37598434/article/details/127324705
版权

 

0x1 背景

2022年10月12日,Rabby Swap合约中存在疑似任意用户资产转移漏洞。Rabby Swap官方表示,如果有使用,请撤销所有链上所有现有的 Rabby Swap 批准。对于没有使用过 Swap 的人来说,钱包安全且不受影响。零时科技安全团队及时对该事件进行分析。

0x2 攻击交易信息

攻击者地址:

0xb687550842a24D7FBC6Aad238fd7E0687eD59d55

攻击者合约:

0x9682f31b3f572988f93c2b8382586ca26a866475

Rabby Swap合约(漏洞合约未开源):

0x6eb211caf6d304a76efe37d9abdfaddc2d4363d1

攻击交易之一:

0x366df0c20e00666749b16ae00475b3c41834dc659ebb29e059aa9bffa892c038

受害者地址之一:

0x0753cfbc797abfce05abaacbb1e6ae032feb5f1d

授权被盗HOP Token 代币地址:

0xc5102fE9359FD9a28f877a67E36B0F050d81a3CC

0x3 攻击步骤

分析攻击者交易,可以明确攻击者交易并不复杂,通过部署攻击合约&

最低0.47元/天 解锁文章
零时科技
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止对以太坊的智能合约攻击——代码分析
chinadefi的博客
01-18 438
防止对以太坊的智能合约攻击——代码分析 以太坊智能合约的特点之一是能够调用和利用来自其他外部合约的代码。 合约通常也处理以太,并且经常将以太发送到各种外部用户地址。这些操作要求合约提交外部调用。这些外部调用可能会被攻击者劫持,攻击者可以强制合约执行进一步的代码(通过一个回退函数),包括对自身的调用。 这类攻击被用于臭名昭著的DAO攻击。 了解漏洞 这种类型的攻击可能发生在合约将以太发送到未知地址攻击者可以在回退函数中小心地在包含恶意代码的外部地址上构造合约。 因此,当一个合约将以太发送到这个地址
以太坊智能合约安全漏洞 (1):重入攻击
henrynote的博客
08-27 8612
本文转自公众号:亨利笔记 首发于: https://hash1024.org/topics/27 本文的英文原文已有若干个中文翻译版本,但译文和原文都有错漏或不足。本文系基于译者(Henry)的理解,重新翻译并做了修正,并且加入了个人的注解和插图,力求让读者更容易领会原文的含义。为不影响阅读体验,注解没有单独标出, 可当译文 +“笔记”来阅读。感兴趣的读者可参考文末的原文地址。 虽然仍然处...
区块链安全—详谈合约攻击(二)
Fly_鹏程万里
12-18 768
一、前言 在前文中,我们简单提及了“智能合约”的概念以及其安全属性。之后针对一些严重的事件展开合约安全的深入分析。在本文中,我们详细的介绍一下智能合约的概念,并且为大家讲述一些关于智能合约方面的攻击事例。并针对相关事例列举防御手段。 而我们知道智能合约的漏洞常存在于以太坊的Solidity中,所以本文中会有大量的合约代码分析。我也会为大家讲述相关合约分析流程。 本文为原创稿件,如有疑问大...
区块链安全—详谈合约攻击(一)
Fly_鹏程万里
12-18 934
一、合约何以智能? 在前文中,我们详细的讲述了Pos、DPos、BFT等常用的落地项目中的一些共识机制。而读者在了解了共识机制的具体流程后也应该会向我一样惊共识的协议之美。在区块链中,除了共识机制以外,还有另外一种富含魅力的技术,那就是“智能合约”。智能合约的引入增强的区块链的发展轨迹,也为区块链技术带来了更多生机。 而智能合约的重要性到底是如何呢?我们应该如何看待智能合约? 提及智能合...
区块链安全—详谈合约攻击(五)
Fly_鹏程万里
12-03 484
一、前言 在上文中,我们详细介绍了sened()函数,并且用相关实例介绍了send()函数。而倘若Solidity代码开发者进行编写没有注意相关逻辑,那么就有可能导致变量覆盖顺序不当而产生安全问题。尤其是当函数失败回滚但系统函数却没有发觉,仍然继续执行后续代码。 而本文我们将讲述合约安全中经典的“重入攻击”。简单来说,此类型攻击带来的危害极大,并且开发者在开发智能合约候很容易产生此问...
Paraluni合约攻击学习
Timmbe的博客
05-08 411
2022年3月13日,Paraluni合约遭受攻击,损失约170万美元 攻击交易:https://bscscan.com/tx/0xd0b4a1d4964cec578516bd3a2fcb6d46cadefe1fea5a2f18eec4c0a496e696f9 合约代码: MasterChef:https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code ParaRouter:https://bscscan.com/a
Rabby 0.1 产品功能文档1
08-03
添加地址钱包中的地址分为以下类:助记词地址:由钱包中的助记词关联的地址(钱包中有私钥)钱包中允许存在0个或者1个助记词私钥地址:通过导私钥得到的地址
rabbitmq_pro.zip
08-28
先从概念解释上搞清楚这个定义,死信,顾名思义就是无法被消费的消息,字面意思可以这样理解,一般来说,producer将消息投递到broker或者直接到queue里了,consumer从queue取出消息进行消费,但某些候由于特定的...
合约安全之重入攻击
xiaoyue2019的博客
07-29 1123
还记得当年的ZheDao事件,硬是让以太坊硬分叉造就了以太经典ETC。 一个月就筹集了1个多亿刀的以太啊,想都不敢想。 16年那会,要是俺就接触了合约安全多好~哈哈。那不早就财富自由了… 要学习重入攻击,需要了解如下几个基本概念 什么是gas、gas limit、gas price 什么是fallback回退函数 什么是transfer、send、call 1.gas 以太坊在区块链上实现了一个运行环境,被称为以太坊虚拟机(EVM)。每个参与到网络的节点都会运行都会运行EVM作为区块验证协议的一部分
合约安全】重入 (Reentrancy) 攻击
热门推荐
weixin_43742184的博客
02-17 1万+
重入(Reentrancy)攻击合约攻击中比较常见的攻击手段。黑客利用自己攻击合约中的 fallback() 函数和多余的gas将合约中本不属于自己的 ETH 转走。
智能合约之可重入攻击
u010304442的博客
04-04 2854
以太坊智能合约到现在,出现了不少由于合约代码不严谨,导致黑客利用合约代码漏洞进行攻击来获取暴利。接下来我为大家来介绍一下常见的合约漏洞类型,包含重入攻击,短地址攻击,数据溢出攻击,可预测随机数攻击,篡改实践攻击等。下面大家介绍一下重入攻击。 ...
智能合约的安全问题
张童鞋
11-03 8629
前言本文主要总结以太坊智能合约的安全漏洞。新加坡国立大学的Loi Luu提出了现在的智能合约存在的几种安全漏洞1。然而,由于智能合约目前还只是初级阶段,相信各种安全问题会不断的发现。智能合约中的安全漏洞交易顺序依赖合约交易顺序依赖就是智能合约的执行随着当前交易处理的顺序不同而产生差异。例如,有两个交易T[i]和T[j],两个区块链状态S[1]和S[2],并且S[1]状态处理完交易T[j]后才能转化为
科技|如何在链上复现安全漏洞?
m0_37598434的博客
03-02 1万+
在链上复现漏洞,需要明确上链的类型及可相关联的钱包。之后通过领取测试币,部署合约,发起交易,从而实现链上智能合约的测试。
区块链安全100问 | 第七篇:智能合约审计流程及审计内容
m0_37598434的博客
08-16 5304
科技——专注于区块链安全领域 深圳零科技有限公司(简称:零科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。 零科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。 前言 .
区块链安全100问 | 第八篇:智能合约自动化审计介绍
m0_37598434的博客
08-23 4532
科技——专注于区块链安全领域 深圳零科技有限公司(简称:零科技),公司成立于2018年11月,是一家专注于区块链生态安全的实战创新型网络安全企业,团队扎根区块链安全与应用技术研究,以丰富的安全攻防实战经验结合人工智能数据分析处理,为用户提供区块链安全漏洞风险检测、安全审计、安全防御、资产追溯,以及企业级区块链应用创新解决方案。 零科技区块链安全100问正式上线,以通俗易懂的语言形式为大家讲解区块链行业知识,以及区块链生态应用存在的安全问题,让更多人了解区块链及区块链安全。 前言 当前区
​零科技 | Titano Finance攻击事件分析
m0_37598434的博客
02-16 2981
科技区块链安全情报平台监控到消息,北京间2022年2月14日,Titano Finance遭到攻击
|| 数字钱包该如何进行安全审计?
最新发布
m0_37598434的博客
10-26 2796
无论是中心化还是去中心化钱包, 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试
Popsicle攻击事件复盘分析 | 零科技
m0_37598434的博客
08-09 2194
事件背景 Popsicle Finance是专注于自动做市(AMM)流动性提供商(LP)的下一代跨链收益提高平台。旨在成为一个完全分散的平台,由其用户(ICE治理令牌的持有者)管理。ICE令牌将用于对协议更新,资产池包含,费用管理以及协议其他关键运营方面的提案进行投票。 零科技区块链安全情报平台监控到消息,北京间2021年8月4日,Popsicle Finance官方推文称Sorbetto Fragola被攻击,零科技安全团队及对该安全事件进行复盘分析。 事件分析 攻击信息 通过初..
Merlin Labs攻击事件复盘分析 | 零科技
m0_37598434的博客
07-01 2150
事件背景 Merlin是一个能够自动组合的收益聚合工具,其生态系统经过优化,可以实现用户在追求安全和可持续为前提的最大收益回报。 零科技区块链安全情报平台监控到消息,北京间2021年6月29日,Merlin Labs官方Telegram称Merlin遭受了黑客攻击,并声明黑客将 0.1WBNB 存入vault,然后手动将1000BNB转入合约,以欺骗合约认为它收到了 1000BNB的奖励,从而导致铸币产生了 MERL 奖励,零科技安全团队及对该安全事件进行复盘分析。 事件分析 攻击信息 通过初步.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值