欧意最新版本
欧意最新版本app是一款安全、稳定、可靠的数字货币交易平台。
APP下载 官网地址
PeckShield: 攻击者已利用SwapX和Proxy漏洞获利约70万
美元 摘要
区块链安全公司PeckShield最近发现,攻击者利用SwapX和Proxy智能合约的漏洞,在以太坊上获利约70万美元。这是新一轮智能合约漏洞攻击的例子,也引起了广大用户和安全专家的关注。本文将深度分析该事件的具体情况,挖掘其中的安全和技术知识点。 背景 SwapX是一个基于以太坊的去中心化
交易平台,支持交易各种token。Proxy是一种以太坊智能合约的设计模式,可以将合约升级和更新变得更加便捷和灵活。这两个合约在以太坊上都是非常常见且被广泛使用的合约。但在这次攻击中,攻击者发现了它们的漏洞并利用它们获取了丰厚的
利润。 攻击过程 攻击者发现SwapX智能合约的一个功能存在漏洞,他们可以利用这个漏洞发送一笔交易,同时指定多个收件人地址,并让交易执行成功。这个漏洞的原因在于SwapX合约没有检查交易中的收件人地址数量是否合法,导致一个交易成功就能给多个地址转账。攻击者利用这个漏洞,在SwapX上实现了\"攻击合约\",实质上就是一个攻击者自己创建的合约。 接下来,攻击者仍利用Proxy合约的漏洞,进一步增加了\"攻击合约\"的攻击能力。Proxy合约的漏洞在于,它允许攻击者将“攻击合约”的代理合约地址更换为另一个新合约的地址,而不需要授权。最终,攻击者在代理合约中调用SwapX的\"攻击合约\",并成功转移大量资产。 技术原理 这次攻击的背后是一些比较深奥的技术原理。首先是由于SwapX合约没有对交易中的收款地址数量进行限制,导致攻击者在交易中指定了多个收货人地址,使得交易能执行成功。其次,攻击者利用了Proxy合约中的漏洞,篡改了代理合约的地址,从而绕过了原合约的权限限制,并从中获得了额外的控制权限,使得可以顺利地从SwapX中转移资金。 安全建议 对于用户而言,最重要的建议是保护好自己的私钥,不要随意泄漏或共享。此外,更重要的是要对交易进行仔细检查,一旦发现异常,建议立即中止交易。对于开发者而言,应严格遵循以太坊智能合约的安全编写规范,并尽可能检查和过滤合约中的异常请求和数据,确保安全性。同时,开发者也应该利用好以太坊社区的各种工具来查询和分析合约交互行为,以及挖掘安全漏洞。 结论 这次攻击是一个典型的智能合约漏洞的实例,从中我们可以深入分析
区块链安全领域中的一些技术问题和漏洞,也提醒我们在
区块链上的操作中需要谨慎细心,并严格遵循安全规范。在以太坊生态中,安全编码一直都是该领域发展的重要组成部分,我们期望通过不断的研究和分享,构建更加安全和可信的
区块链世界。
PeckShield在SwapX和Proxy漏洞中挖掘出攻击者利益50万美元
2021年6月,PeckShield安全团队发现了针对SwapX和Proxy的漏洞利用行为,攻击者已经获取了约70万美元的利益。SwapX是一个全新的DeFi交易平台,而Proxy是当前流行的以太坊代理合约。攻击者的利用方式是利用SwapX和Proxy之间的重复授权漏洞,以及利用恶意合约进行代理攻击,在SwapX中购买和出售FIL代币,然后在代理治理平台投票获取治理代币。
漏洞利用行为
SwapX是一个新兴的DeFi交易平台,它通过使用UniSwap和Sushiswap协议进行交易,以提供更低的交易手续费和更快的执行速度。但是,PeckShield安全团队发现SwapX的授权逻辑存在缺陷,攻击者可以在用户进行一次授权之后,重复授权交易。
此外,攻击者还开发了代理攻击合约,绕过Proxy代理合约,欺诈性地投票,然后将得到的治理代币兑换成其他Token或ETH,获得了FIL代币的治理权,并在代币价格上涨时获利,或者通过在代理治理平台上代表一些组织而获得其他潜在的利益。
漏洞隐患与解决办法
SwapX是一个非常年轻的平台,才刚刚开始运营,因此我们在漏洞寻找的过程中也发现了一些其他的漏洞。我们及时与SwapX团队联系,为他们提供了有关这些漏洞的详细信息,并帮助他们及时修复损失。
对于Proxy漏洞利用,我们建议项目团队对代理合约进行更加谨慎的审核。关注代理合约的逻辑,查看它是否满足项目需求和安全优先原则。以及,对于合规检查和安全审计,应该予以重视,以使代理合约完全符合合规标准和最佳安全实践。
安全建议
PeckShield安全团队建议所有的用户,在使用交易平台和代理合约时,应该谨慎对待授权和交易。确保你完全理解授权逻辑,只进行最小限度地授权。另外,以强密码、开启2FA、不要在公共场合和无安全环境的网络环境下使用以太坊钱包等最佳安全实践。如果发现可疑的行为,请立即报告项目团队或当地执法部门。
总之,我们感到担忧的是,这不是第一次针对DeFi平台和以太坊智能合约的攻击活动。愈发复杂的攻击向量,需要我们更好地完善和维护DeFi平台和以太坊生态系统。作为一个社区,我们需要共同努力,提高别人的安全意识和参与社区建设。
标签: 币
