Superfluid_HQ被黑分析-ODAILY

前?

2022年2月8日，知道創宇區塊鏈安全實驗室監測到以太坊上的DeFi協議superfluid遭遇黑客攻擊，損失超1300萬美元。實驗室第一時間跟蹤本次事件并分析。

攻擊涉及基礎信息

Superfluid：0xEBbe9a6688be25d058C9469Ee4807E5eF192897f

Gucci在2月將投放 10 個“SuperGucci”NFT:金色財經報道，意大利奢侈時尚品牌 Gucci即將于2月1日開始投放 10 個不可替代的代幣 (NFT)。NFT 是與玩具品牌Superplastic合作創建的，并由 Gucci 的設計主管 Alessandro Michele 共同設計。每個 NFT 都將贈送一個意大利手工制作并由 Gucci 共同設計的陶瓷雕塑。周五，Gucci 在推特上發布了關于路線圖和Discord頻道的啟動。（coindesk）[2022/1/25 9:10:47]

攻擊交易hash：0x396b6ee91216cf6e7c89f0c6044dfc97e84647f5007a658ca899040471ab4d67

SuperSwap將對合約報錯用戶進行Gas補償:據SuperSwap推特顯示，由于部署合約過程中參數錯誤原因，導致兌換過程中SUSHI授權失敗并扣除部分用戶以太坊網絡gas費用，經過開發團隊及時處理，目前所有參數已全面恢復正常，調整后的最新SuperSwap合約地址為:0x058391e75ee8f675c7eeca35fd6d12b11e73b4b6。對于授權失敗并扣除gas費的用戶，SuperSwap 開發團隊將于24小時內進行原地址gas補償。[2020/9/21]

黑客地址：0x1574F7F4C9d3aCa2EbcE918e5d19d18aE853c090

CoinBene滿幣與fxSUPER達成戰略合作:據官方消息，CoinBene滿幣與fxSUPER達成深度戰略合作，fxSUPER簽約成為CoinBene滿幣全球合約運營商，將享有全球市場運營、渠道商招募及全方面業務拓展等權益。雙方將圍繞數字貨幣展開全方位合作，助力社區人員擁有更好合約體驗、共建線上共識社區。

fxSUPER是由專業金融分析師SW Ding于2017年成立的。fxSUPER擁有專家組，主要在韓國和日本等國家為用戶提供咨詢服務，目前已經為超過20萬名交易者提供交易策略。

CoinBene滿幣數字資產交易平臺，在全球180多個國家和地區擁有500多萬用戶，日活躍用戶數超10萬，日均交易額30億美元。2019年初，平臺戰略布局合約衍生品市場，主要提供以BTC、USDT進行結算且安全、穩定的合約交易服務，未來CoinBene滿幣將繼續深化與社區合作。[2020/4/28]

攻擊合約地址:0x32D47ba0aFfC9569298d4598f7Bf8348Ce8DA6D4

漏洞分析

漏洞核心

此次漏洞核心在于函數callAgreement,該函數主要作用在于提供一個名為"ctx"的數據結構，“ctx”被用于協議間的通信共享。而此次事件的攻擊者就是對”ctx“數據進行了偽造，達到欺騙合約的目的。

漏洞利用

為什么假數據會被采用以及攻擊者是如何構造假“ctx”數據的？

從交易中可以看到攻擊者是直接在callData結尾處傳入了假“ctx”，同時真“ctx”數據也被構建出來了的，只是程序在處理數據時會將callData數據與“ctx”打包成一個對象，當協議對該對象進行解碼時，ABI解碼器僅會處理位于前面的數據而忽略掉后面的數據。

而構建一個假“ctx”數據也并不復雜，由于“ctx”結構末尾為全零所以僅需要仿照“ctx”結構將其直接添加在userData中，以下是官方示例如何構建一個假“ctx”：

總結

本次攻擊事件在于協議數據處理時無條件信任來源數據，應當對用戶數據與官方構造數據進行標識區分。近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：SUPSUPERUPESUPESUPERPOOSUPERSTAKESUPER價格Super Wallet

Coinw