空手套白狼 —— YIEDL 被黑分析
By: Sissice
背景
2024 年 4 月 24 日,据慢雾安全团队情报,BSC 链上的 YIEDL 项目遭攻击,攻击者获利约 30 万美元。慢雾安全团队对该攻击事件展开分析并将结果分享如下:
(https://twitter.com/SlowMist_Team/status/1782962346039898473)
相关信息
攻击者地址:
0x322696471792440499b1979e0a440491e870667a
被攻击合约地址:
0x4edda16ab4f4cc46b160abc42763ba63885862a4
部分攻击交易:
0x49ca5e188c538b4f2efb45552f13309cc0dd1f3592eee54decfc9da54620c2ec
0x3629ad588ac120163792e92b6c43bd4bdc5bf35cac66eb7f3a0267df93abc849
0x0a89b8670c40b4067b9522a5933c3bf8c44c968103aa642b04c65d49ad9e6457
0x5e468cba495e5f6165418fb9d87d824309c54261055425f33f588dd3b3abbcea
0x8710034dadecfc8c26f651c612f613fffdece6e2f9957b9ec8ab843218168c1d
0x9da398ed274c8cfa774b36003fa8c930d3430d0fc5889b5008830fd6463f68a9
0x2e3d4332f66a334e0170187011ed673dc222f95bf4443b618e08f8052437ef7a
0x5a15fdc57c35f2305aaa0bb95b109ad412b17406d737d137190fe5867393339d
0x8ef3765665cd849cdf9132ab37caf6aa0f891e1f7d9f418f86a6ab6ea38b6f5b
0xa9fa04b033afbed2218679aea92e9429a5f7839d0b4c65358ebf9ba20efcd021
攻击核心
本次事件的攻击核心是利用合约处理 redeem 函数调用时未能充分验证用户输入的外部参数。该参数是控制资产兑换的关键数据,通常包含特定的交易指令或路由信息。攻击者通过恶意构造这一外部参数,实现了未授权的资产转移。
交易分析
攻击者多次调用 redeem 函数,申请赎回数量为 0 的资产,此行为本身看似无害,因为赎回数量为零时通常不会触发任何实际的资金流动:
但是跟进 redeem 函数可以发现,该函数会遍历合约允许的资产列表,并在当前资产不为用户希望接收的资产时,会根据传入的 dataList 参数解析并外部调用 1inch Router 中对应的函数来执行资产兑换操作。
而由于此处传入的 dataList 并未经过检查和验证,使得攻击者可以构造恶意的值去执行 1inch Router 合约的 unoswapTo 函数来进行任意可控的兑换代币操作。
结果,Yiedl BULL 合约中的 WBNB-ADA Token 被兑换为 BNB 至攻击者的地址。
通过这种方式,攻击者无需实际拥有任何赎回份额,即可触发由 dataList 参数控制的代币兑换操作,在不消耗自身资产的情况下,多次调动合约资金,获利离场。
总结
本次攻击的核心在于函数未能充分验证用户输入的 dataList 参数,导致攻击者可以构造恶意的外部数据并利用 1inch 套走合约中的代币。慢雾安全团队建议项目方在开发中实施严格的参数验证机制,尤其是在涉及合约中的资金操作时,要确保所有外部调用均符合预期的行为规范,并对合约的逻辑进行彻底的安全审计,避免类似事件再次发生。
比推快讯
更多 >>- 截至5月16日贝莱德IBIT持仓超过27.6万枚比特币
- ETH突破3000美元,日内涨幅扩大至5%
- 一巨鲸将3400枚ETH存入Compound,并借出700万枚USDT
- Arbitrum DAO批准一项为期八周的并购试点计划,考虑与大型科技公司合作
- 美股开盘GameStop跌超20%
- 尼日利亚法院称币安可接受逃税指控并拟于5月22日再次提审
- 美国银行提高Coinbase股票评级
- 土耳其议会提交加密货币法案,旨在将加密货币许可证引入该国
- 尼日利亚信息部:拟针对币安CEO声称1.5亿美元索贿指控展开调查
- 香港金管局:目前数字人民币试点不实名登记、不可作个人转帐
- 华夏基金比特币和以太币ETF已被纳入香港新资本投资者入境计划
- CoreWeave筹集75亿美元以推动人工智能计算
- CryptoQuant CEO:比特币正处于牛市中期
- 尼日利亚法院驳回Binance高管的保释请求
- 币安与台湾执法部门联合侦破一起涉案金额620万美元诈骗案
- Spartan Group从Aave转出14万枚LINK并存入币安
- 派盾:以太坊基金会关联地址向Kraken转入200枚ETH
- Sonne Finance向攻击者提出解决方案:可保留10%攻击资金
- 华夏基金比特币和以太币ETF已被纳入香港新资本投资者入境计划
- Signum Capital与大华创投宣布投资ZK链上游戏引擎开发商Blade Games
- Web3足球fantasy游戏GOALAI完成300万美元融资,IDG capital领投
- Hyperion Decimus推出加密基金HD CoinDesk Acheilus
- 香港金管局:中交建工4家银行为香港数字人民币钱包运营机构
- Art Blocks宣布推出Ark Blocks Studio,以支持艺术家根据合约自主发布NFT
- Radiant DAO批准在Arbitrum和以太坊主网上整合新的weETH市场
- FTX Digital:客户提交索赔截止日期预计将延长至7月底或8月初
- 链上索引服务Subsquid完成总额1750万美元融资,DFG等参投
- 区块链数据追踪及分析平台Chainalysis完成新一轮融资,Haun Ventures参投
- 机构级加密货币和数字资产平台Fireblocks完成新一轮融资,Haun Ventures参投
- Popsicle Network与MultiAdaptive共同推出首个Solana VM rollup开源技术框架
- 法国金融市场管理局再次警告投资者Bybit已被其列入黑名单
- 美联储Bostic:年底前降息可能是合适的,但没有任何确定的计划
- pump.fun:已升级合约并暂停交易,攻击者无法窃取更多资金
- 彭博社分析师:超400家机构披露持有贝莱德现货比特币ETF,这数字“非常罕见”
- Wintermute研究主管:pump.fun疑似私钥泄露被攻击,2000枚SOL和大量meme币被盗
- Pump.fun 攻击者疑似利用被盗资金随机空投
- Solana 代币启动器pump.fun疑似遭闪电贷攻击
- 美国银行:仍预计美联储将在12月首次降息
- 比特币向下触及65000美元,日内跌1.85%
- 美联储Mester :尚未就央行数字货币作出决定
- 美参议院投票通过撤销有争议的 SEC 会计公告