Cointime

Cointime

Download App
iOS & Android

SharkTeam: การวิเคราะห์การโจมตี Hedgey Finance

เมื่อวันที่ 19 เมษายน 2024 Hedgey Finance ประสบปัญหาธุรกรรมการโจมตีหลายครั้ง ส่งผลให้เกิดการสูญเสียมากกว่า 2 ล้านเหรียญสหรัฐ

SharkTeam ดำเนินการวิเคราะห์ทางเทคนิคของเหตุการณ์นี้ทันทีและสรุปข้อควรระวังด้านความปลอดภัย เราหวังว่าโครงการต่อ ๆ ไปจะสามารถเรียนรู้จากสิ่งนี้และร่วมกันสร้างแนวป้องกันความปลอดภัยสำหรับอุตสาหกรรมบล็อกเชน

Hedgey Finance ถูกโจมตีหลายครั้งโดยผู้โจมตีซึ่งใช้ประโยชน์จากช่องโหว่ในการอนุมัติโทเค็นเพื่อขโมยโทเค็นจำนวนมากในสัญญา ClaimCampaigns

ยกตัวอย่างธุรกรรมที่ใหญ่ที่สุดที่เกี่ยวข้องกับจำนวนเงินประมาณ 1.3 ล้านเหรียญสหรัฐ:

ธุรกรรมการโจมตี: 0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

ตัวรุก: 0xded2b1a426e1b7d415a40bcad44e98f47181dda2

สัญญาการโจมตี: 0xc793113f1548b97e37c409f39244ee44241bf2b3

สัญญาเป้าหมาย: 0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511 (แคมเปญการอ้างสิทธิ์)

ธุรกรรมโอน 1,303,910.12 USDC โดยตรงจากสัญญา ClaimCampaigns รายละเอียดการทำธุรกรรมมีดังนี้:

ธุรกรรมที่เริ่มต้นการโจมตีจริงคือ

0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517 (ย่อว่า 0xa17f)

กระบวนการโจมตีมีดังนี้:

0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517 (ย่อว่า 0xa17f)

กระบวนการโจมตีมีดังนี้:

1 เงินกู้แฟลช 1.305M USDC จาก Balancer

2. เรียกใช้ฟังก์ชัน createLockedCampaign ในสัญญา ClaimCampaigns ในฟังก์ชันนี้ สัญญาการโจมตีจะฝาก 1.305M USDC ไว้ในสัญญา ClaimCampaigns จากนั้นสัญญา laimCampaigns จะอนุมัติการโอน 1.305M USDC สำหรับสัญญาการโจมตีที่จะใช้

3. เรียกใช้ฟังก์ชัน cancelCampaign ในสัญญา ClaimCampaigns ในฟังก์ชันนี้ สัญญาการโจมตีจะถอนเงิน 1.305M USDC ที่ฝากไว้ แต่ USDC ที่อนุมัติให้กับสัญญาการโจมตีในฟังก์ชัน createLockedCampaign จะไม่ถูกยกเลิก

4 โจมตีสัญญาเพื่อชำระคืนเงินกู้แฟลชของ Balancer

ในธุรกรรมนี้ หลังจากที่สัญญาการโจมตีถอนเงิน 1.305M USDC ที่จัดเก็บไว้ในสัญญา ClaimCampaigns แล้ว 1.305M USDC ที่ได้รับการอนุมัติโดยสัญญา ClaimCampaigns กับสัญญาการโจมตีจึงไม่ถูกยกเลิก ดังนั้น สัญญาการโจมตีจึงสามารถเรียกใช้ฟังก์ชัน TransferFrom ของ USDC ไปยัง ถอนเงินออกจากสัญญา ClaimCampaigns อีกครั้ง โอนเงิน 1.305M USDC นี่เป็นฟังก์ชันที่ใช้งานโดยธุรกรรม 0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517

จากธุรกรรมทั้งสองข้างต้น ผู้โจมตีขโมยเงิน 1.305M USDC จากสัญญา ClaimCampaigns

นอกจาก USDC แล้ว ผู้โจมตียังใช้ช่องโหว่นี้เพื่อขโมยโทเค็น NOBL จำนวนมากจากสัญญา ClaimCampaigns เมื่อรวมกับ USDC แล้ว มีมูลค่ารวมเกินกว่า 2 ล้านเหรียญสหรัฐ

สาเหตุหลักของเหตุการณ์นี้คือ มีช่องโหว่ในการอนุมัติโทเค็นในตรรกะการใช้งานของสัญญาอัจฉริยะของโปรเจ็กต์ ซึ่งช่วยให้ผู้โจมตีสามารถถ่ายโอนการอนุมัติสัญญาเป้าหมายไปยังโทเค็นใน msg.sender ซ้ำๆ ได้

ฟังก์ชัน createLockedCamaign ของสัญญาอัจฉริยะ ClaimCampaigns จะจัดเก็บโทเค็นของ msg.sender ไว้ในสัญญาเป้าหมายและอนุมัติโทเค็นเหล่านี้ให้กับ msg.sender

ฟังก์ชัน cancelCampaign จะถอนโทเค็นที่ฝากไว้ แต่จะไม่ยกเลิกการอนุมัติโทเค็น

ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้และเรียกใช้ฟังก์ชัน TransferFrom ของ Token โดยตรงเพื่อถ่ายโอนโทเค็นที่ได้รับอนุมัติอีกครั้งจากสัญญาเป้าหมาย

เพื่อตอบสนองต่อการโจมตีนี้ เราควรปฏิบัติตามข้อควรระวังต่อไปนี้ในระหว่างกระบวนการพัฒนา:

ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้และเรียกใช้ฟังก์ชัน TransferFrom ของ Token โดยตรงเพื่อถ่ายโอนโทเค็นที่ได้รับอนุมัติอีกครั้งจากสัญญาเป้าหมาย

เพื่อตอบสนองต่อการโจมตีนี้ เราควรปฏิบัติตามข้อควรระวังต่อไปนี้ในระหว่างกระบวนการพัฒนา:

(1) ในระหว่างกระบวนการออกแบบและพัฒนาโครงการ จะต้องรักษาความสมบูรณ์และความเข้มงวดของตรรกะ โดยเฉพาะอย่างยิ่งเมื่อพูดถึงการโอนสินทรัพย์ เมื่อทำการโอนโทเค็น ตรวจสอบให้แน่ใจว่าจำนวนโทเค็นที่ได้รับอนุมัตินั้นถูกซิงโครไนซ์เพื่อหลีกเลี่ยงการโอน โทเค็นแต่ไม่มีการยกเลิกการอนุมัติ

(2) ก่อนที่โปรเจ็กต์จะออนไลน์ การตรวจสอบสัญญาอัจฉริยะจะต้องดำเนินการโดยบริษัทตรวจสอบมืออาชีพบุคคลที่สาม

วิสัยทัศน์ของ SharkTeam คือการรักษาความปลอดภัยให้กับโลกของ Web3 ทีมงานประกอบด้วยผู้เชี่ยวชาญด้านความปลอดภัยที่มีประสบการณ์และนักวิจัยอาวุโสจากทั่วโลก ซึ่งมีความเชี่ยวชาญในทฤษฎีพื้นฐานของบล็อคเชนและสัญญาอัจฉริยะ โดยให้บริการต่างๆ เช่น การระบุและการบล็อกความเสี่ยง การตรวจสอบสัญญาอัจฉริยะ KYT/AML การวิเคราะห์ออนไลน์ ฯลฯ และได้สร้างแพลตฟอร์มการระบุความเสี่ยงและการบล็อกอัจฉริยะแบบออนไลน์ ChainAegis ซึ่งสามารถต่อสู้กับภัยคุกคามขั้นสูงแบบต่อเนื่อง (ขั้นสูง) ได้อย่างมีประสิทธิภาพ ภัยคุกคามถาวร) ในโลก Web3 , APT) ได้สร้างความสัมพันธ์ความร่วมมือระยะยาวกับผู้เล่นหลักในด้านต่างๆ ของระบบนิเวศ Web3 เช่น Polkadot, Moonbeam, polygon, Sui, OKX, imToken, Collab.Land, TinTinLand เป็นต้น

เว็บไซต์อย่างเป็นทางการ: https://www.sharkteam.org

ทวิตเตอร์: https://twitter.com/sharkteamorg

โทรเลข: https://t.me/sharkteamorg

ดิสคอร์ด: https://discord.gg/jGH9xXCjDZ

ความคิดเห็น

ความคิดเห็นทั้งหมด

Recommended for you

  • หน่วยงานประกันเงินฝากของสหรัฐฯ (FDIC) มีแผนที่จะจัดตั้งกระบวนการยื่นคำขอสำหรับสถาบันที่อยู่ภายใต้การกำกับดูแลที่ต้องการออกเหรียญ Stablecoin สำหรับการชำระเงิน

    สำนักงานประกันเงินฝากแห่งสหรัฐอเมริกา (FDIC) ประกาศอนุมัติร่างกฎระเบียบเพื่อกำหนดกระบวนการยื่นคำขอสำหรับสถาบันที่ต้องการออกเหรียญ Stablecoin สำหรับการชำระเงินและอยู่ภายใต้การกำกับดูแลของ FDIC โดยได้เริ่มระยะเวลารับฟังความคิดเห็นจากสาธารณะ 60 วันแล้ว รายงานระบุว่านี่เป็นข้อเสนอกฎระเบียบอย่างเป็นทางการครั้งแรกนับตั้งแต่มีการผ่านร่างกฎหมาย GENIUS Act หรือ "กฎหมายนวัตกรรม Stablecoin ของอเมริกา"

  • ราคา Bitcoin ทะลุ 88,000 ดอลลาร์

    ข้อมูลตลาดแสดงให้เห็นว่า BTC ทะลุระดับ 88,000 ดอลลาร์แล้ว และปัจจุบันซื้อขายอยู่ที่ 88,002.21 ดอลลาร์ เพิ่มขึ้น 1.34% ในช่วง 24 ชั่วโมงที่ผ่านมา ตลาดกำลังมีความผันผวนสูง ดังนั้นโปรดบริหารความเสี่ยงของคุณให้เหมาะสม

  • Bitwise เชื่อว่าปี 2026 จะเป็นปีขาขึ้นของสกุลเงินดิจิทัล และได้เผยแพร่การคาดการณ์ 10 ข้อ

    Bitwise เชื่อว่าปี 2026 จะเป็นปีแห่งตลาดกระทิงสำหรับสกุลเงินดิจิทัล ตั้งแต่การยอมรับจากสถาบันไปจนถึงความคืบหน้าด้านกฎระเบียบ แนวโน้มเชิงบวกในปัจจุบันของสกุลเงินดิจิทัลนั้นแข็งแกร่งเกินกว่าจะถูกกดดันได้นาน ต่อไปนี้คือการคาดการณ์ 10 อันดับแรกของ Bitwise สำหรับปีที่จะมาถึง: การคาดการณ์ที่ 1: Bitcoin จะทำลายวัฏจักร 4 ปีและทำสถิติสูงสุดตลอดกาลใหม่ การคาดการณ์ที่ 2: ความผันผวนของ Bitcoin จะต่ำกว่าของ Nvidia การคาดการณ์ที่ 3: ETF จะซื้อ Bitcoin, Ethereum และ Solana ที่ผลิตใหม่มากกว่า 100% เนื่องจากความต้องการจากสถาบันเพิ่มขึ้นอย่างรวดเร็ว การคาดการณ์ที่ 4: หุ้นสกุลเงินดิจิทัลจะให้ผลตอบแทนดีกว่าหุ้นเทคโนโลยี การคาดการณ์ที่ 5: ปริมาณการซื้อขายล่วงหน้าของ Polymarket จะทำสถิติสูงสุดตลอดกาลใหม่ แซงหน้าระดับที่เห็นในช่วงการเลือกตั้งปี 2024 การคาดการณ์ที่ 6: Stablecoin จะถูกกล่าวหาว่าบ่อนทำลายเสถียรภาพของสกุลเงินในตลาดเกิดใหม่ การคาดการณ์ที่ 7: กองทุน ETF แบบ On-chain (หรือที่รู้จักกันในชื่อ "ETF 2.0") จะมีสินทรัพย์ภายใต้การบริหารจัดการเพิ่มขึ้นเป็นสองเท่า การคาดการณ์ที่ 8: Ethereum และ Solana จะทำสถิติสูงสุดตลอดกาล (หากกฎหมาย CLARITY Act ผ่าน) การคาดการณ์ที่ 9: ครึ่งหนึ่งของเงินทุนสำรองของมหาวิทยาลัยในกลุ่ม Ivy League จะถูกลงทุนในสกุลเงินดิจิทัล การคาดการณ์ที่ 10: สหรัฐอเมริกาจะเปิดตัว ETF ที่เชื่อมโยงกับสกุลเงินดิจิทัลมากกว่า 100 กองทุน การคาดการณ์เพิ่มเติม: ความสัมพันธ์ระหว่าง Bitcoin และหุ้นจะลดลง

  • บริษัท China Properties Investment วางแผนที่จะซื้อและถือครอง BNB ไว้เป็นสินทรัพย์สำรองเชิงกลยุทธ์

    บริษัท ไชน่า พรอพเพอร์ตี้ส์ อินเวสต์เมนต์ (00736) ประกาศว่า เพื่อส่งเสริมกลยุทธ์ของบริษัทในการกระจายการจัดสรรสินทรัพย์และคว้าโอกาสในการพัฒนาเศรษฐกิจดิจิทัล บริษัทจึงตัดสินใจใช้เงินทุนของตนเองซื้อและถือครอง BNB (Binance Coin) และสินทรัพย์ดิจิทัลอื่น ๆ ที่เหมาะสมในตลาดเปิดเป็นสินทรัพย์สำรองเชิงกลยุทธ์ โดยอยู่ภายใต้การปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องและการควบคุมความเสี่ยง บริษัทมีความมั่นใจในโอกาสการพัฒนาในระยะยาวของอุตสาหกรรมสินทรัพย์ดิจิทัล และมีความเชื่อมั่นอย่างเต็มที่ในหน่วยงานที่ดำเนินงาน BNB การวิจัยและพัฒนาเทคโนโลยี โครงสร้างระบบนิเวศ และความสามารถในการแข่งขันในอุตสาหกรรม โดยตระหนักถึงศักยภาพการพัฒนาในระยะยาวและพื้นที่การเติบโตของมูลค่าในด้านบล็อกเชน เงินทุนที่จะใช้ในแผนนี้มาจากเงินทุนที่มีอยู่ของบริษัททั้งหมด และการจัดสรรเงินทุนเป็นไปตามมาตรฐานการจัดการทางการเงินและแผนธุรกิจโดยรวมของบริษัท และจะไม่ส่งผลกระทบต่อการดำเนินงานประจำวันของบริษัท คณะกรรมการบริษัทจะดำเนินการซื้อเป็นงวด ๆ ภายในวงเงินที่ได้รับอนุมัติ โดยขึ้นอยู่กับสภาวะตลาด

  • ผู้อำนวยการสภาเศรษฐกิจแห่งชาติทำเนียบขาว นายฮาสเซ็ตต์ กล่าวว่า "เมื่อพิจารณาจากปัจจัยบวกที่เกิดขึ้นในด้านอุปทานแล้ว ยังมีโอกาสที่จะลดอัตราดอกเบี้ยได้อีกมาก"

    ผู้อำนวยการสภาเศรษฐกิจแห่งชาติทำเนียบขาว นายฮาสเซ็ตต์ กล่าวว่า "เมื่อพิจารณาจากปัจจัยบวกที่เกิดขึ้นในด้านอุปทานแล้ว ยังมีโอกาสที่จะลดอัตราดอกเบี้ยได้อีกมาก"

  • บริษัท RedotPay ผู้ให้บริการชำระเงินด้วย Stablecoin ระดมทุนรอบ Series B ได้สำเร็จ 107 ล้านดอลลาร์สหรัฐ

    RedotPay บริษัทฟินเทคจากฮ่องกงที่เน้นการชำระเงินด้วย Stablecoin ประกาศความสำเร็จในการระดมทุนรอบ Series B มูลค่า 107 ล้านดอลลาร์สหรัฐ นำโดย Goodwater Capital โดยมี Pantera Capital, Blockchain Capital, Circle Ventures และ HSG (เดิมคือ Sequoia Capital China) ซึ่งเป็นนักลงทุนเดิมร่วมลงทุนด้วย

  • Binance Alpha จะเพิ่ม Theoriq (THQ) เข้าลิสต์ในเวลา 22:00 น.

    Binance Alpha ได้เพิ่ม Theoriq (THQ) ลงในรายการซื้อขายแล้ว และการซื้อขาย Alpha จะเริ่มต้นในวันที่ 16 ธันวาคม 2025 เวลา 22:00 น. (UTC+8) ผู้ใช้ที่มี Binance Alpha Points อย่างน้อย 220 คะแนน สามารถรับโทเค็นฟรีดรอปได้ โดยรับโทเค็น THQ จำนวน 400 โทเค็นผ่านหน้ากิจกรรม Alpha กิจกรรมนี้ใช้โมเดล "คะแนนลดลง" กล่าวคือ การรับคะแนนฟรีดรอปในนาทีแรกจะใช้ Binance Alpha Points 30 คะแนน หากกิจกรรมดำเนินต่อไป คะแนนที่ต้องใช้จะลดลง 1 คะแนนในทุกนาทีหลังจากนั้น จนถึงขั้นต่ำสุดที่ 10 คะแนน

  • จำนวนผู้มีงานทำในภาครัฐของสหรัฐฯ ลดลง 157,000 คนในเดือนตุลาคม

    สำนักงานสถิติแรงงานแห่งสหรัฐอเมริกาได้เผยแพร่รายงานการจ้างงานนอกภาคเกษตรประจำเดือนพฤศจิกายน และข้อมูลการจ้างงานนอกภาคเกษตรบางส่วนของเดือนตุลาคม ข้อมูลแสดงให้เห็นว่าการจ้างงานนอกภาคเกษตรของสหรัฐฯ เพิ่มขึ้น 64,000 ตำแหน่งในเดือนพฤศจิกายน โดยในบรรดาอุตสาหกรรมต่างๆ การเพิ่มขึ้นมากที่สุดอยู่ในภาคการดูแลสุขภาพและบริการสังคม โดยเพิ่มขึ้น 64,000 ตำแหน่ง ขณะที่การลดลงมากที่สุดอยู่ในภาคการขนส่งและคลังสินค้า โดยลดลง 17,700 ตำแหน่ง ในเดือนตุลาคม การจ้างงานนอกภาคเกษตรลดลงอย่างมากถึง 105,000 ตำแหน่ง โดยลดลงมากที่สุดในภาครัฐ ลดลง 157,000 ตำแหน่ง นับเป็นเดือนที่สองติดต่อกันที่งานลดลง ส่วนการเพิ่มขึ้นมากที่สุดอยู่ในภาคการดูแลสุขภาพและบริการสังคม โดยเพิ่มขึ้น 64,600 ตำแหน่ง

  • อัตราการว่างงานในสหรัฐฯ ลดลงมากที่สุดนับตั้งแต่สิ้นปี 2020 ในเดือนตุลาคม

    ข้อมูลที่เผยแพร่เมื่อวันอังคารโดยสำนักงานสถิติแรงงานสหรัฐฯ แสดงให้เห็นว่าจำนวนผู้มีงานทำนอกภาคเกษตรเพิ่มขึ้น 64,000 คนในเดือนพฤศจิกายน เมื่อเทียบกับการลดลง 105,000 คนในเดือนตุลาคม อัตราการว่างงานในเดือนที่ผ่านมาอยู่ที่ 4.6% เพิ่มขึ้นจาก 4.4% ในเดือนกันยายน ซึ่งเป็นระดับสูงสุดนับตั้งแต่ปี 2021 สำนักงานสถิติแรงงานต้องงดเว้นการเผยแพร่อัตราการว่างงานของเดือนตุลาคม เนื่องจากไม่สามารถรวบรวมข้อมูลย้อนหลังได้หลังจากการปิดทำการของรัฐบาล การลดลงของจำนวนผู้มีงานทำในเดือนตุลาคมเป็นการลดลงมากที่สุดนับตั้งแต่สิ้นปี 2020 เนื่องจากผู้ที่เข้าร่วมโครงการลาออกโดยสมัครใจของรัฐบาลทรัมป์ได้ออกจากรายชื่อผู้มีงานทำอย่างเป็นทางการ ส่งผลให้จำนวนผู้มีงานทำในหน่วยงานรัฐบาลกลางลดลง 162,000 คน

  • อัตราการว่างงานของสหรัฐฯ ที่เพิ่มขึ้นอย่างไม่คาดคิดในเดือนพฤศจิกายน อาจดึงดูดความสนใจจากธนาคารกลางสหรัฐฯ (เฟด) ในขณะที่คาดว่าการฟื้นตัวของอัตราการมีส่วนร่วมในกำลังแรงงานจะช่วยบรรเทาความกังวลบางส่วนได้

    บทวิเคราะห์อย่างรวดเร็วของนักวิเคราะห์ Anstey เกี่ยวกับรายงานการจ้างงานนอกภาคเกษตรของสหรัฐฯ ชี้ให้เห็นว่า ข้อมูลการจ้างงานนอกภาคเกษตรในเดือนพฤศจิกายนสูงกว่าที่คาดการณ์ไว้เล็กน้อย โดยมีการจ้างงานใหม่ 64,000 ตำแหน่ง อัตราการว่างงานเพิ่มขึ้นอย่างไม่คาดคิดเป็น 4.6% ในเดือนพฤศจิกายน ซึ่งอาจดึงดูดความสนใจจากธนาคารกลางสหรัฐฯ อย่างไรก็ตาม อัตราการมีส่วนร่วมในกำลังแรงงานเพิ่มขึ้น ดังนั้นการเพิ่มขึ้นของอัตราการว่างงานอาจไม่ใช่ข่าวร้ายทั้งหมด เรายังคงต้องตรวจสอบข้อมูลเฉพาะอย่างละเอียดมากขึ้น ดัชนีหุ้นล่วงหน้าของสหรัฐฯ ปรับตัวสูงขึ้น และผลตอบแทนพันธบัตรกระทรวงการคลังสหรัฐฯ อายุ 2 ปีลดลง—จากผลการดำเนินงานที่อ่อนแอของข้อมูลการจ้างงานนอกภาคเกษตรในช่วงหลายเดือนที่ผ่านมา ความคาดหวังของตลาดเกี่ยวกับการผ่อนคลายทางการเงินเพิ่มเติมโดยธนาคารกลางสหรัฐฯ จึงเพิ่มขึ้น ควรสังเกตว่าข้อมูลสำหรับเดือนสิงหาคมและกันยายนได้รับการปรับลดลงรวมกัน 33,000 ตำแหน่งด้วย

ต้องอ่านทุกวัน

กิจกรรมยอดนิยม

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

April 30 - April 30
Dubai
Cointime
เนื้อหา
บริษัท