2023年8月18日,Exactly Protocol因未充分验证输入的参数遭到跨链桥攻击,导致损失达1204万美元。接下来比特丛林将详细剖解这次攻击,并提出规避风险的建议。
01 涉案资金流向
攻击者(0xe4f34a72d7c18b6f666d6ca53fbc3790bc9da042)已窃取4323枚ETH,截止到本分析完成时,已有1500 ETH通过 Across Bridge 转移到Ethereum,其余的2833以太币仍处于通过 Optimism Bridge 向Ethereum转移的过程中。
02 被攻击原因分析
https://www.oklink.com/cn/optimism/address/0xe4f34a72d7c18b6f666d6ca53fbc3790bc9da042/token-transfer
以其中一笔交易为例,并分析合约.
https://github.com/exactly/protocol/blob/8522222d9dcc017ce7a27dc33ca821c8bd4fd536/contracts/periphery/DebtManager.sol#L759
https://explorer.phalcon.xyz/tx/optimism/0x3d6367de5c191204b44b8a5cf975f257472087a9aadc59b5d744ffdef33a520e?line=3234&debugLine=3234
通过分析可得知攻击者通过传递虚假的market并替换_msgSender 为受害者地址,进而绕过 DebtManager 中的检查,随后通过 crossDeleverage 函数从_msgSender 中窃取抵押品。
03 本次安全事件造成的影响
本次攻击事件会导致用户和投资者的信心受损:这些攻击和漏洞可能会让一些用户和投资者Optimism链和Exactly Protocol项目感到担忧,用户可能担心他们的资金和个人信息的安全性,这可能导致用户减少或停止使用该平台,从而减少生态系统的活跃度。
04 规避风险的措施
为了避免类似的风险,建议采取以下措施:
·加强安全审计:对区块链项目进行全面的安全审计,包括智能合约代码审计和系统架构审查,以发现潜在的安全漏洞和风险。
·高度关注攻击向量:了解当前常见的攻击方式和漏洞利用技术,并采取相应的防御措施,如限制智能合约的权限、使用多重签名等。
·社区监督和反馈:建立积极的社区监督机制,鼓励用户和安全专家报告发现的安全问题,并及时响应和解决这些问题。
后续的调查正在进行中,bitjungle将密切关注,并向受影响的用户提供进一步支持和帮助,如果有需要请联系比特丛林。