元宇宙非小号金色财经交流群社区官网

OpynETHPut逻辑漏洞分析:成都链安深度剖析

浏览:137|时间:2023-08-12 02:55:02
一、事件简述

8月5日凌晨四点,有用户在opyn论坛反馈自己的账户余额无故消失,并有用户发现可疑的交易信息。

Opyn项目方对情况进行初步分析后回应表示,已经转移了资金,并正在寻找问题原因。

截至发稿前,官方发文回应此次事件,表示遭到黑客攻击,并已对可能遭受攻击的资产进行转移。但此次漏洞只涉及ETH合约,并不影响其他合约。

成都链安-安全实验室第一时间对本次事件进行跟踪分析,发现了攻击者的合约地址。

攻击者的攻击方式如下: 1. 攻击者调用合约向合约发送USDC增加抵押,并得到合约币oETH。 2. 攻击者调用合约发送ETH进行抵押,并销毁oETH以赎回自己的USDC。 3. 攻击者赎回自己抵押的ETH。

二、技术分析

以交易0x56de6c4bd906ee0c067a332e64966db8b1e866c7965c044163a503de6ee6552a为例,攻击者通过合约对另一个合约发动攻击。

攻击者调用了addERC20CollateralOption函数,向合约中发送了一定数量的USDC。接着,攻击者调用issueOTokens函数铸币oETH并发送给了自己。

随后,攻击者的vault参数更新了。

最后,攻击者进行了oETH兑换。

通过调用exercise函数,攻击者获得了两次USDC,从而获得了利润。

总结建议

此次事件中,攻击者利用了exercise函数的逻辑缺陷。此函数在进行最后转账前并未验证调用者是否有权限赎回此地址的USDC,只是简单的验证了地址是否可以赎回。

属于代码层的逻辑漏洞,并且根据官方回复,此合约是经过安全审计的。成都链安在此提醒各项目方: 1. 项目上线前应当进行足够有效的安全审计,最好是多方审计。 2. 对于合约的应当设置暂停合约交易等功能,在发生安全事件时,可以以保证资金安全。 3. 安全是一个持续的过程,绝非一次审计就能保平安,与第三方安全公司建立长期的合作至关重要。

ETH op 成都 漏洞

本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All