北京時間2023年6月14日，HashFlow被黑客攻擊，攻擊者獲利約60萬美元。

SharkTeam對此事件第一時間進行了技術分析，並總結了安全防範手段，希望後續項目可以引以為戒，共築區塊鏈行業的安全防线。

一、事件分析

攻擊者地址：

0xBDf38B7475Ff810325AA39e988fb80E0aA007E84

攻擊合約：

0xDDb19a1Bd22C53dac894EE4E2FBfdB0A06769216

被攻擊合約：

0x79cdFd7Bc46D577b95ed92bcdc8abAba1844Af0c

攻擊交易：

0xdedda493272b6b35660b9cc9070d2ea32ee61279b821184ff837e0a5752f4042

0xb08f6d3fc70b95223cfffc2c905d9c0467a589e5f652cd193e5c00b4ad329b99

0x08b5f35076beb363a7206b8f9b4a6460f42aa9f998b561582fb4e4cdd6f05dce

（1）攻擊者（0xBDf38B74）部署攻擊合約（0xDDb19a1B）後，調用攻擊合約（0xDDb19a1B）的Wooooo函數。

（2）攻擊合約（0xDDb19a1B）調用被攻擊合約（0x79cdFd7B）的0x0031b016函數。

（3）函數中直接將用戶的USDT轉移到了攻擊合約中。

二、漏洞分析

被攻擊合約（0x79cdFd7B）為hashflow在去年五月份就已經棄用的合約，並未开源,經過反編譯可以看到合約中將代幣從from轉移到了to地址。經過分析，很有可能是因為用戶在去年五月份之前使用該合約時對該合約進行了大額度的授權，而在合約棄用後，這些授權並沒有被回收，並可能由於合約棄用後導致限制邏輯出現了一定的問題，導致攻擊者可以調用棄用合約的函數來轉出用戶資產。

三、後續進展

攻擊者（0xBDf38B74）在完成攻擊後，开源了攻擊合約並留下信息“Before use recover, please revoke first. Your funds are not safe.”,提示用戶在將錢轉走之前，撤銷對被攻擊合約（0x79cdFd7B）的授權。

攻擊者留下兩個函數，一個是將資金全部提走，另一個是將資產留下十分之一作為對攻擊者的獎金。目前用戶已經开始陸續將資金提取。

四、安全建議

本次事件發生原因是由於被攻擊合約（0x79cdFd7B）曾經接受過大量用戶的授權，並在棄用後授權沒有被回收，導致用戶資產受損。針對本次攻擊事件，我們在开發過程中應遵循以下注意事項：

（1）項目方應嚴格校驗合約在棄用後可能出現的邏輯問題。

（2）用於應及時檢查自己账戶對不同協議合約的授權，應及時取消不再交互的合約或已升級合約的授權。

（3）合約升級前，應及時與專業的第三方審計團隊進行合作，保障安全。

About Us

SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應急響應等服務。已與區塊鏈生態系統各個領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長期合作關系。

官網：https://www.sharkteam.org

Twitter：https://twitter.com/sharkteamorg

Discord：https://discord.gg/jGH9xXCjDZ

Telegram：https://t.me/sharkteamorg

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。