知道创宇区块链安全实验室|危险的授权转账-- Li.Finance 攻击事件始末

最新推荐文章于 2024-11-01 21:29:43 发布
最新推荐文章于 2024-11-01 21:29:43 发布
阅读量2.4k 收藏 1
点赞数
文章标签: 区块链 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sierraw/article/details/123655572
版权
本文分析了3月20日针对Li.Finance的区块链攻击事件,攻击者利用授权转账漏洞窃取约60万美元资产。文章详细阐述了攻击者的操作流程、漏洞细节,并赞扬了项目方的积极应对和快速修复措施。
摘要由CSDN通过智能技术生成

一、前言
北京时间3月20日晚,知道创宇区块链安全实验室 监测到以太坊上分布式跨链协议 Li.Finance 受到了攻击,攻击者执行了37次call注入获取了多个钱包中约60万美元的资产(204个ETH)。此次资产损失并没有非常大,但项目方对于攻击的处理非常积极并值得学习与肯定(见后文),目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室 第一时间跟踪本次事件并分析。

在这里插入图片描述

二、分析

1.攻击者相关信息
攻击tx:0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96被攻击合约:0x5A9Fd7c39a6C488E715437D7b1f3C823d5596eD1–代理合约0x73a499e043b03fc047189ab1ba72eb595ff1fc8e–逻辑合约攻击者地址: 0xC6f2bDE06967E04caAf4bF4E43717c3342680d76 – 部署地址0x878099F08131a18Fab6bB0b4Cfc6B6DAe54b177E – 收款地址

2.攻击流程
攻击调用流程攻击者构造payload并调用被攻击合约0x5a9fd7c3的swapAndStartBridgeTokensViaCBridge函数
在这里插入图片描述

具体使用的Payload如下–图中选中部分即为利用授权转账(transferFrom)部分的

最低0.47元/天 解锁文章
「已注销」
关注
Li.Finance 互操作性扩展到 Optimism
人生代码 ---- 公众号
02-06 3172
Optimism 是以太坊的第 2 层扩展解决方案。更具体地说,它是一个Optimistic Rolluplayer 2 解决方案,使用户能够以更低的成本和闪电般的速度享受以太坊的去中心...
知道创宇区块链安全实验室二月安全事件总结与回顾
SierraW的博客
03-02 3319
新春二月,区块链安全问题频现,潜在的攻击者仍然将目光更多的投向Defi项目,各种区块链诈骗项目与跑路项目层出不穷,安全问题需引起重视。
辟谣!关于网传的ERC20 approve函数重大安全漏洞,大家不必过度慌张!
区块链大本营
06-18 2396
近期,有人发现并报道了ERC20标准的approve方法存在巨大安全漏洞,并声称该漏洞会导致所有使用该标准发布的代币存在被向量攻击的风险。该团队经过市场统计发现,目前已上...
区块链安全—详谈合约攻击(二)
Fly_鹏程万里
12-18 833
一、前言 在前文中,我们简单提及了“智能合约”的概念以及其安全属性。之后针对一些严重的事件展开合约安全的深入分析。在本文中,我们详细的介绍一下智能合约的概念,并且为大家讲述一些关于智能合约方面的攻击事例。并针对相关事例列举防御手段。 而我们知道智能合约的漏洞常存在于以太坊的Solidity中,所以本文中会有大量的合约代码分析。我也会为大家讲述相关合约分析流程。 本文为原创稿件,如有疑问大...
Li.Finance - 跨链交互,埋伏空投,超级详细的教程
人生代码 ---- 公众号
12-28 942
随着 defi,以及各种公链的发展,势必就会出现不同的链的交互的需求,可能你想从这个链跨到另外一个链,可能你想从这个链在另外一个链买卖其他币,在 DOT 波卡链还没完成成熟之前,我们要跟其...
知道创宇区块链安全实验室UmbNetwork 攻击事件分析
SierraW的博客
03-22 3562
BSC 链和以太坊上的 UmbNetwork 奖励池遭到黑客攻击,损失约 70 万美元。
知道创宇区块链安全实验室Meter.io 攻击事件分析
SierraW的博客
02-10 1869
Meter.io 跨链协议因逻辑判断缺陷遭到攻击,损失约430万美元。
知道创宇区块链安全实验室Titano Finance攻击事件分析
SierraW的博客
02-16 2176
Titano Finance 因合约中仅管理员调用方法被恶意利用遭到攻击,损失 3200万 TITANO 代币。
知道创宇区块链安全实验室 | OneRing Finance 闪电贷攻击事件分析
SierraW的博客
03-23 3978
前言 北京时间 2022 年 3 月 22 日,知道创宇区块链安全实验室 监测到 Fantom 生态稳定币收益优化器 OneRing Finance 遭到闪电贷攻击,黑客窃取逾 145万 美元。 分析 攻击事件如下图所示,该次攻击事件的问题点在于 OneRing Finance 直接使用交易对中的 reserves 来实时进行 OShare 的价格计算,攻击者通过 Swap 操作提高 reserves 的量,最终拉升 OShare 的价格,获取更多的资金。 基础信息 攻击合约: 0x6A6d593ED74
知道创宇区块链安全实验室bHOME 重入攻击事件分析
SierraW的博客
03-09 335
BaconProtocol遭受黑客攻击损失约958,166美元,黑客利用重入漏洞,并凭借闪电贷扩大收益额。
Backtrader-Broker05
进击的小学生
10-31 750
本系列是使用Backtrader在量化领域的学习与实践,着重介绍Backtrader的使用。本次介绍Backtrader中Broker模块,其是Backtrader核心模块之一, Broker模拟经纪商交易系统相关功能。
《股市行情预测软件:开发之路的探索与挑战》
zheng_ruiguo的专栏
10-30 1138
股市行情预测软件的开发是一个复杂而具有挑战性的过程。从需求分析与规划开始,明确软件的功能需求和目标用户,制定详细的开发计划,组建专业的开发团队。在数据采集与探索阶段,通过多种渠道获取股票数据,并进行初步的分析和可视化。数据预处理环节确保数据质量,为模型构建奠定基础。选择合适的算法构建模型,并进行严格的训练和优化。程序开发与测试阶段实现软件的各项功能,并进行全面的测试和评估。最后,将软件部署到实际环境中,并进行持续的维护和更新。
富格林:曝光欺诈陷阱纠正误区
fgl100的博客
10-31 294
许多投资者认为,黄金交易的风险是由于价格波动较大,没有经验难以把握黄金的价格走势,对黄金市场走势的把握不准确导致投资者交易错误。所以在进行投资交易前,投资者必须要先看看黄金市场的现状如何,如果有必可以选择跟正规平台的分析师咨询一下并且使用少量资金进行操作,直到普遍对市场走势有一定的信心,那么单独进行交易操作也为时不晚。在此期间也应该更加注意一些可能影响黄金市场的因素,特别是国际形势的变化,对黄金市场的影响是非常大的。任意止损的后果是显而易见的,没有账户可以承受长期和持续的止损。
富格林:正确追损思维安全交易
fgl100的博客
10-31 236
止损是在投资行业中长期生存的最重要的基本功,但出于对损失的本能逃避,大多数投资者对止损的认识是混乱甚至错误的,或者处于无知的状态,对止损的认识误区也是最多的。做到这些的前提是,投资者对价格有一定的敏感度,能够判断其价格上涨或者下跌的空间,为投资提供最好的判断支持。在投资的过程当中,应该进行多少资金的投入,选择哪个时间段去进行交易,这都需要去了解和认识,只有不断地完善各个方面的知识体系,做到对于每一个环节的严格要求,才可以更好的完成自己的投资,实现更多的投资收益。
交易所开发:开启数字金融新时代
Lovely_xwys的博客
10-28 837
它需要综合运用区块链技术、智能合约、分布式存储、高性能服务器等多种技术,建立完善的安全体系和用户管理系统,同时还需要应对监管合规、安全风险、市场竞争等挑战。随着数字货币市场的不断发展和创新,数字货币交易所将在未来的数字金融领域发挥更加重要的作用。这种去中心化的结构提高了交易的透明度,用户可以随时查看交易记录,确保交易的公平性和公正性。因此,需要采用高性能的服务器和网络设备,确保交易的高效性和稳定性。去中心化交易所不依赖于中央机构,而是通过智能合约实现交易的自动化执行和资金托管,提高了交易的安全性和透明度。
Chapter 2 - 10. Understanding Congestion in Fibre Channel Fabrics
最新发布
mounter625的专栏
11-01 558
信号传输速率和比特率之间的关系可以用波特率来解释,波特率是以每秒的符号数来衡量的。但是,如果一个信号携带两个比特,比特率就是信令率的两倍。当第一帧的第一个比特进入接收器时,第八帧的最后一个比特离开发送器。不同的产品提供不同的方法来计算链路上的平均帧大小。中数值的计算方法,这是一个很好的学术练习。因此,当发送方传输帧的最后一个比特时,帧的第一个比特在光缆上的传输距离为。虽然传输速率是由发送方定义的,但比特在介质上的传输速度是由光速决定的,光速为。相对来说更难知道,因为帧的大小会随着应用的不同而动态变化。
什么是 L0、L1、L2 和 L3 区块链层以及为什么需要它们
paranoid_7988的博客
10-31 327
层的概念是区块链的一种分类,对于快速了解特定项目如何融入整个生态系统必不可少。在本文中,我们将分析什么是层 L0、L1、L2 和 L3,为什么需要它们并考虑示例。
大数据导论第二章作业
r2931887650的博客
10-28 514
当P2P网络中的某个节点接收到一条交易记录时,他会传播给相邻的节点,然后相邻的节点再传播给其他相邻的节点,那么通过这样一个P2P网络,这个数据会瞬间传遍全球。物联网中存在各种异构网络和不同的类型,产生了大量不同来源的不同类型数据,如何实现有效整合、处理和挖掘是物联网处理层需要解决的关键技术。公有云是面向所有用户提供服务,私有云只为特定用户提供服务,混合云综合了公有云和私有云的特点。第一个特性:很难找到两个不同的x和y,使得h(x)=h(y),也就是说,通过两个不同的输入,很难找到对应的、相同的输出。
11.1组会汇报-基于区块链安全多方计算研究现状与展望
qq_53950993的博客
11-01 386
的模型示意图,计算参与方可以通过一组应用程序A1、A2、A3连接到Fabric网络,通过认证后以peer节点的形式存在于区块链网络中,它们可以存在于同一个组织或者分散于不同的组织中。背书策略:背书策略(endorsement policy)可以理解为是对交易进行背书必须满足的条件,即要得到背书成功的结论,必须满足背书策略中给出的条件。协议集成到区块链网络上执行,计算节点作为区块链网络上的节点通过区块链进行通信,通过区块链的智能合约等机制来完成计算。的特性,需要提供新的组件支持才能够成功实现链上MPC。
客户端安全:跨站脚本攻击与防御策略
此话题由知道创宇安全研究员Evi1m0提出,他是邪红色信息安全组织的创始人,他在多个平台分享过关于客户端安全的研究成果。 首先,Evi1m0通过历史案例强调了客户端安全的重要性。例如,腾讯QQ群的XSS漏洞利用了群...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值