Brahma TopGear (brahTOPG) 項目存在外部調用風險，請迅速取消授權_NDS

據慢霧安全團隊監測，ETH鏈上的brahTOPG項目遭到攻擊，攻擊者獲利約89,879美元。慢霧安全團隊以簡訊形式分享如下：

1.攻擊者首先查詢了受害用戶0x392472的余額，接著調用了Zapper合約的zapIn函數。

Animoca Brands和Hex Trust合作為GameFi提供機構級錢包:金色財經報道，Animoca Brands和Hex Trust正在合作為在線游戲玩家提供機構級錢包和金融服務。Hex Trust將作為托管人并為Animoca Brands生態系統中的游戲玩家提供金融服務，其中包括The Sandbox。聲明稱，這些服務還將包括NFT和其他加密資產的銀行服務。據悉，Animoca Brands是去中心化游戲和NFT投資者，Hex Trust是一家在香港和新加坡擁有執照的加密貨幣托管和金融服務提供商。[2021/11/26 7:11:12]

2.首先函數會為合約轉賬requiredToken參數所指定的代幣，由于該函數傳入的參數是外部可控的，所以攻擊者惡意構造了該參數使得requiredToken為假代幣并將假代幣轉給Zapper合約。

微收入流媒體平臺Amasa融資150萬美元，Animoca Brands領投:9月21日消息，微收入流媒體平臺Amasa宣布完成150萬美元戰略融資，Animoca Brands領投，OKEx BlockDream Ventures、SkyVision Capital、Spark Digital Capital、Momentum 6、LD Capital、Double Peak、Maeve Ventures、Moonwhale Ventures、Sandeep Nailwal（Polygon）、Gabby Dizon（Yield Guild Games）參投。

據悉，Amasa通過在不同Dashboard上提供多階段AMAS代幣來籌集資金。該項目正在構建微收入聚合器，可以集成到各種DeFi、NFT和GameFi應用程序中。（U.Today）[2021/9/21 23:41:04]

3.接著會調用內部函數zap，在該函數中首先會檢查合約中假代幣的余額是否大于或等于傳入的值，由于第二步的操作所以通過了該檢查。

聲音 | 王永利：扎克伯格的證詞并沒有說到Libra的關鍵問題:10月26日，中國銀行原副行長王永利在《 經濟觀察報》刊文“為什么Libra很難成功”。文章表示，超主權貨幣——這是一個被證詞刻意回避的核心問題；從貨幣的本質屬性與發展邏輯去觀察，可以肯定，設想打造超主權貨幣的Libra難以成功。如果說“網絡加密貨幣”和只與單一法定貨幣等值掛鉤的穩定幣還有可能推出并發揮一定作用的話，那么，設想與一籃子貨幣綜合掛鉤打造無國界、超主權的新的“非國家化貨幣”，勢必與主權貨幣產生競爭關系，而不可能與國家主權貨幣同生共榮，在國家主權獨立難以消除的情況下，這是根本不現實的！即使是IMF出面打造超主權的eSDR，也同樣如此。所以，馬克·扎克伯格的證詞并沒有說到Libra的關鍵問題上，僅以數字金融創新可能帶來的好處（并不是確定的）掩蓋其試圖打造超主權貨幣可能產生的沖擊與風險，是很難令人信服的！[2019/10/30]

4.之后會外部調用假代幣合約的approve函數，該函數為攻擊者惡意構造，是為了給Zapper合約轉賬frax代幣，此操作是為了通過后續合約中對frax代幣余額的檢查并且能成功給金庫存款。

5.最后外部調用了swapTarget參數所指定的合約，并且調用所傳入參數也是外部可構造的，所以攻擊者利用此處任意外部調用漏洞轉走了其他有授權的用戶的USDC代幣。

6.攻擊者重復以上步驟，總共攻擊了三次，轉移了三個受害者賬戶下的USDC代幣約889,343枚。

此次攻擊的主要原因在于Zapper合約為對用戶傳入的數據進行嚴格檢查，導致了任意外部調用的問題，攻擊者利用此任意外部調用問題竊取了對合約仍有授權的用戶的代幣。

慢霧安全團隊提醒使用過該合約的用戶請迅速取消對該合約的授權以規避資產被盜的風險。

Tags：ANDAnimoca BrandsNIMNDSLand Of RealmsNIMBUS價格INDSHIB價格

火必下載