Superfluid_HQ被黑分析

最新推荐文章于 2024-11-01 17:48:39 发布
最新推荐文章于 2024-11-01 17:48:39 发布
阅读量1.2k 收藏
点赞数
文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sierraw/article/details/122876385
版权
2022年2月8日,以太坊上的DeFi协议Superfluid遭受黑客攻击,损失超过1300万美元。攻击者通过伪造函数callAgreement中的“ctx”数据结构欺骗合约,导致安全漏洞。建议加强合约审计、风控措施和应急计划,确保协议数据处理的安全性。
摘要由CSDN通过智能技术生成

前⾔

2022年2月8日,知道创宇区块链安全实验室 监测到以太坊上的 DeFi 协议 superfluid 遭遇黑客攻击,损失超1300万美元。实验室第一时间跟踪本次事件并分析。

在这里插入图片描述

攻击涉及基础信息

Superfluid:0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

攻击交易hash:0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

黑客地址:0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

攻击合约地址: 0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

漏洞核心

在这里插入图片描述

此次漏洞核心在于函数callAgreement,该函数主要作用在于提供一个名为"ctx"的数据结构,“ctx”被用于协议间的通信共享。而此次事件的攻击者就是对”ctx“数据进行了 伪造,达到欺骗合约的目的。

在这里插入图片描述

漏洞利用

为什么假数据会被采用以及攻击者是如何构造假“ctx”数据的?

从交易中可以看到攻击者是直接在callData结尾处传入了假“ctx”,同时真“ctx”数据也被构建出来了的,只是程序在处理数据时会将callData数据与“ctx”打包成一个对象,当协议对该对象进行解码时,ABI解码器仅会处理位于前面的数据而忽略掉后面的数据。

在这里插入图片描述

而构建一个假“ctx”数据也并不复杂,由于“ctx”结构末尾为全零所以仅需要仿照“ctx”结构将其直接添加在userData中,以下是官方示例如何构建一个假“ctx”:

在这里插入图片描述

总结

本次攻击事件在于协议数据处理时无条件信任来源数据,应当对用户数据与官方构造数据进行标识区分。近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

「已注销」
关注
superfluid_jiujitsu:关于jiujitsu的网站
02-11
【标题】:“superfluid_jiujitsu:关于...通过以上分析,我们可以看到"superfluid_jiujitsu"项目不仅涵盖了柔术这一运动领域的知识,还涉及到现代网页开发的多个层面,包括前端设计、交互实现以及内容管理等多个方面。
浪客云黑-自助收录网站源码
php源码
02-15 1566
安装说明: 1.导入数据库文件 2.修改config.php文件里的数据库信息  3.后台地址:域名/admin/  4代理地址:域名/app/ 6.后台用户名和密码统一为:admin  7.需要修改首页信息的文件是:index.php 网盘下载地址: http://www.bytepan.com/FLQa80S2rCm 图片: ...
云黑系统,浪客云黑3.0,名单系统
你的北音
09-13 3530
介绍: 浪客云黑3.0预览版船新的云黑给你不一样的体验 本次更新内容为 重写布局UI(后台/用户) 插件全新升级3.0 插件重写了UI 预计下一个版本将更新宝塔功能 源码下载地址https://www.skpan.cn/wv3COkVr6ud 图片: ...
superfluid-protocol-docs:超流协议的文档
04-28
示例应用{%page-ref page =“ resources / examples /”%}社区+帮助如果您需要任何帮助或有任何疑问,请加入我们的 ,****查看我们的,或通过与我们的团队 Superfluid文档正在增长。 告诉我们您对此不满意的地方,...
SuperAuction:由Superfluid协议提供支持的流式拍卖
04-30
必须使用Superfluid功能来实现流功能。 通过终止或清算放弃拍卖的玩家不得重新加入拍卖。 对于每个非获胜者,都会发送回相等数量的流以“抵消”接收流。 用户无需更改任何内容,并且仍在拍卖中。 对于每个下降的...
rickoshea:使用Superfluid扩展和简化美元成本平均
05-11
标签地址aAAVEx 0x5a669e6A17B056Ca87e54c3Ca889114dB5A02590 aAAVE SuperApp 0x65B09D9494A73F9a4da87de3475318738192F6C0 aMKRx 0xa54A3943b8015efA5871f439342102D825f5E899 aMKRx超级应用0x8E4F673aAF5C5125aBCD...
基于 SM3 的密钥派生函数 (KDF):国密合规的安全密钥生成方案
A_Lonely_Smile的博客
10-29 773
在现代加密技术中,密钥派生函数(Key Derivation Function, KDF)是一个将初始输入(如密码、共享密钥等)转换为安全密钥的过程,用于实现加密、消息认证等密码操作。特别是在符合国密标准的场景中,基于 SM3 的 KDF 已成为一种常用的密钥生成方式。本文将详细讲解 SM3-KDF 的工作原理,逐步介绍其实现过程,并提供 Java 代码示例,帮助您理解如何在项目中应用 SM3-KDF。
服务攻防之开发组件安全
qq_63831588的博客
10-28 1225
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
冷钱包与热钱包的差异 | 加密货币存储的安全方案
tusik68的博客
11-01 696
想要安全存储加密货币?了解冷钱包和热钱包的核心差异,找到适合的存储方式,确保您的数字资产安全无忧。
漫途焊机安全生产监管方案,提升安全生产管理水平!
mantoo2014的博客
11-01 163
随着智能制造时代的到来,企业安全生产管理的重要性日益凸显。因此,利用物联网技术和设备监控技术加强焊机安全生产监管,成为企业提升安全生产管理效率、降低安全事故率的重要手段。漫途焊机安全生产监管方案,凭借其物联网技术和设备监控技术。
uaGate SI——实现OT与IT的安全连接
SoftingChina的博客
10-28 805
对于许多制造商来说,诸如工业物联网(IIoT)、信息物理系统(CPS)和大数据等概念已经开始与其智能工厂的愿景紧密相连。智能工厂是将信息技术(IT)的数字世界与运营技术(OT)的物理世界连接起来,也就是实现IT与OT的融合。
【论文速读】| APILOT:通过避开过时API陷阱,引导大语言模型生成安全代码
m0_73736695的博客
11-01 489
论文提出了一种名为APILOT的系统,它通过实时更新过时API的数据集,并结合增强生成方法,引导LLMs生成版本感知的安全代码。
安全成为大模型的核心;大模型安全的途径:大模型对齐
ZJQ的博客
10-28 265
DPO的工作原理是:通过利用奖励函数与最优策略之间的映射关系,证明这个受限的奖励最大化问题可以通过单阶段的策略训练来精确优化。综上所述,人类反馈强化学习(RLHF)和直接偏好优化(DPO)都是大模型对齐技术中的重要方法。DPO简化了RLHF的流程,将强化学习的训练阶段转化为一个二分类问题,从而减少了内存消耗并提高了训练稳定性。RLHF,即Reinforcement Learning from Human Feedback,是一种结合了机器学习中的强化学习算法与人类主观判断的训练技术。
Windows 安全日志解析
qq_38933606的博客
10-29 627
当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行,当这种登录出现时,Windows在日志中记为类型4。与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。当离线设备使用域用户登录时,Windows将使用缓存的交互式域登录的凭证HASH来验证你的身份,这种情况下将登录记为类型11。不详,推测与类型11类似,适用于远程桌面的离线登录。
Chrome与火狐的安全功能全面评估
最新发布
2403_86768603的博客
11-01 755
作为两款广受欢迎的浏览器,Chrome和火狐(Firefox)都提供了多种安全功能来保护用户的在线隐私和数据安全。Chrome通过细粒度的插件权限管理、隐身模式以及可扩展的侧边栏功能,为用户提供了灵活而全面的隐私保护方案。而火狐则凭借其强大的跟踪保护、加密与隐私保护选项以及严格的插件管理机制,赢得了众多注重隐私的用户的青睐。然而,与Chrome不同的是,火狐对插件的权限管理更加严格。同时,火狐还提供了多种隐私保护选项,如“Do Not Track”(请勿跟踪)请求头、指纹保护等,以增强用户的在线隐私。
安全运营 -- 监控linux命令history
leeezp的博客
10-27 871
最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动......
智慧用电监控装置:引领0.4kV安全用电新时代
Wcy1184638123的博客
10-29 349
采用了前沿的微控制器技术,实现了高度集成化设计,体积小巧,安装便捷,完美融入各类建筑环境,不影响美观的同时,提升了电力监控的智能化与数字化水平。装置将传统的RS485有线通讯方式全面升级为GPRS无线通讯,彻底摆脱了现场布线的束缚,不仅降低了施工难度与成本,还实现了远程监控与数据传输的即时性与灵活性,为电力管理人员提供了便捷与高效的管理。它不仅帮助用户实现了对电力系统的精准控制与高效管理,还通过数据分析与预测,为预防系统绝缘老化、优化能源配置提供了科学依据,助力企业节能减排,提升整体运营效率。
【深度学习】合合信息:生成式AI时代的内容安全与系统构建
Java 技术专栏,从入门到精通,熟悉企业级开发
10-28 5914
该公司所研发的基于深度学习的图像篡改检测技术以及相关系统,能够通过深入探究图像被篡改后统计特征所产生的变化,以智能化的手段精确捕捉到图像在篡改过程中遗留下来的细微痕迹,从而可以检测出例如复制粘贴、拼接、擦除等各式各样的篡改形式。本文中提及的人脸伪造检测、通用篡改检测、卡证篡改检测应用,都包含在TextIn智能文字识别产品里,这些应用基于合合自研AI检测系统,通过深度学习算法的高级特征提取和分析,对人脸、证照、卡证、扫描件等场景进行专项模型调优,实现高效、精准的检测。感兴趣的朋友们可以访问。
超流体氦与水爬壁现象的润湿深度模型解析
"王孝恩的《A Wetting-Depth Model for Explanation of Wall-Climbing Phenomena of Superfluid Helium and General Liquids such as Water》是一篇首发论文,探讨了超流体氦和普通液体(如水)在固体表面的润湿及爬...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值