PeckShield:攻击者已利用SwapX和Proxy漏洞获利约70万美元
PeckShield在SwapX和Proxy漏洞中挖掘出攻击者利益50万美元
2021年6月,PeckShield安全团队发现了针对SwapX和Proxy的漏洞利用行为,攻击者已经获取了约70万美元的利益。SwapX是一个全新的DeFi交易平台,而Proxy是当前流行的以太坊代理合约。攻击者的利用方式是利用SwapX和Proxy之间的重复授权漏洞,以及利用恶意合约进行代理攻击,在SwapX中购买和出售FIL代币,然后在代理治理平台投票获取治理代币。
漏洞利用行为
SwapX是一个新兴的DeFi交易平台,它通过使用UniSwap和Sushiswap协议进行交易,以提供更低的交易手续费和更快的执行速度。但是,PeckShield安全团队发现SwapX的授权逻辑存在缺陷,攻击者可以在用户进行一次授权之后,重复授权交易。
此外,攻击者还开发了代理攻击合约,绕过Proxy代理合约,欺诈性地投票,然后将得到的治理代币兑换成其他Token或ETH,获得了FIL代币的治理权,并在代币价格上涨时获利,或者通过在代理治理平台上代表一些组织而获得其他潜在的利益。
漏洞隐患与解决办法
SwapX是一个非常年轻的平台,才刚刚开始运营,因此我们在漏洞寻找的过程中也发现了一些其他的漏洞。我们及时与SwapX团队联系,为他们提供了有关这些漏洞的详细信息,并帮助他们及时修复损失。
对于Proxy漏洞利用,我们建议项目团队对代理合约进行更加谨慎的审核。关注代理合约的逻辑,查看它是否满足项目需求和安全优先原则。以及,对于合规检查和安全审计,应该予以重视,以使代理合约完全符合合规标准和最佳安全实践。
安全建议
PeckShield安全团队建议所有的用户,在使用交易平台和代理合约时,应该谨慎对待授权和交易。确保你完全理解授权逻辑,只进行最小限度地授权。另外,以强密码、开启2FA、不要在公共场合和无安全环境的网络环境下使用以太坊钱包等最佳安全实践。如果发现可疑的行为,请立即报告项目团队或当地执法部门。
总之,我们感到担忧的是,这不是第一次针对DeFi平台和以太坊智能合约的攻击活动。愈发复杂的攻击向量,需要我们更好地完善和维护DeFi平台和以太坊生态系统。作为一个社区,我们需要共同努力,提高别人的安全意识和参与社区建设。
标签: 币
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
