以太坊TIME合約被黑客攻擊

2023-12-11 12:12:37

背景介紹

近日,以太坊的TIME合約遭受黑客攻擊,導致黑客獲得了約18.8萬美元的利潤。這次攻擊暴露了ERC2771原生元交易安全協議和Muticall批處理調用庫的漏洞。

事件經過

在2023年12月7日,以太坊的TIME合約成為了第一個受到該安全問題影響的項目。然而,事情並不僅僅如此。在我們的追蹤中發現,早在12月4日,thirdweb就發布了漏洞公告,稱他們意識到了該安全漏洞,並已與相關項目方取得聯系進行緩解措施。

協議背景簡介

ERC2771原生元交易安全協議是為接收者合約定義了一種協議,通過可信轉發器合約接受元交易。該協議允許以太坊接受來自沒有ETH來支付Gas費用的外部账戶的調用。另外,Multicall是一個用於批量處理多個調用的功能庫,它通過循環調用DelegateCall函數實現了這一功能。

TIME合約事件信息

攻擊交易:0xecdd111a60debfadc6533de30fb7f55dc5ceed01dfadd30e4a7ebdb416d2f6b6
攻擊者地址:0xfde0d1575ed8e06fbf36256bcdfa1f359281455a
攻擊合約:0x6980a47bee930a4584b09ee79ebe46484fbdbdd0
被攻擊合約:0x4b0e9a7da8bab813efae92a6651019b8bd6c0a29

TIME合約事件漏洞分析

這次攻擊利用了轉發器合約調用TIME代幣的multicall函數,並僞造了msg.sender以銷毀pair中的代幣。攻擊者最終通過代幣價格上漲兌換ETH獲利。

TIME合約事件攻擊流程

1. 攻擊者使用WTH兌換了大量的Time代幣作為准備資金。
2. 攻擊者調用轉發器的execute函數,並傳入惡意的calldata。
3. execute函數調用Time代幣的multicall函數,由於惡意設置了data的長度,使得msg.sender被截斷。
4. multicall函數以pair的調用者身份調用burn函數銷毀pair中的Time代幣。
5. 攻擊者調用pair中的sync函數同步pair中的儲備量,使得Time代幣價格上漲。
最終,攻擊者通過兌換獲得的Time代幣獲得了18.8萬美元的利潤。

以上事件再次提醒我們,智能合約的安全性至關重要。項目方需要加強對漏洞的識別和修復,以確保區塊鏈生態系統的可持續發展和用戶的資產安全。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

歐盟打響穩定幣战爭:21家發行商爭奪,Circle搶先登陸,Tether扶持“代理人”

作者:Weilin,PANews 歐盟《加密資產市場監管法案》(MiCA)對穩定幣發行方的監管規則...

PANews
6 14小時前

Gecky x WEEX聯名車隊馳騁歐洲頂級方程式賽道

當地時間 9 月 29 日,在巴塞羅那舉行的 Euroformula Open 第三場比賽中,Vl...

星球日報
7 14小時前

Fractal Bitcoin分形比特幣深度研究報告:原生擴展的比特幣高速公路,重新定義比特幣的可能性

比特幣網絡擴展問題一直是區塊鏈領域的核心話題。從最初的隔離見證(SegWit)到閃電網絡(Ligh...

星球日報
6 14小時前

薩爾瓦多的比特幣之城,建的怎么樣了?

在全球,薩爾瓦多或許只是一個名不見經傳的邊陲小國,給人留有的模糊印象是熱辣的火山地貌與多樣的生態系...

陀螺財經
6 14小時前

大餅新高、山寨暴跌,誰賺走了你的錢?

「如果不看大餅,只看山寨,我還以為 312 了。」這是一位社區成員發出的無奈感嘆。 這一感嘆並非空...

星球日報
7 14小時前

Stacks完成Nakamoto升級,BTC DeFi會是下一個關注點嗎?

當比特幣突破 9 萬美金,加密市場各個生態都开始了自己的狂歡。 AI 敘事持續火熱,Meme 持續...

星球日報
6 14小時前