疑惑の解明: 有料ネットワークで盗まれた詳細の分析

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

BTC0.0₂₀

ETH0.0₂₀

HTX0.0₂₀

SOL0.0₂₀

BNB0.0₂₀

疑惑の解明: 有料ネットワークで盗まれた詳細の分析

慢雾科技

2021-03-06 09:45

本文约938字，阅读全文需要约4分钟

過剰な権限を防ぐのは困難です。

攻撃内容の分析

以上が攻撃処理全体の呼び出し処理の詳細である。

攻撃プロセス全体は非常に単純で、攻撃者はプロキシコントラクト内の関数シグネチャ (0x40c10f19) を使用して関数を呼び出し、攻撃プロセス全体を終了することがわかります。関数シグネチャが不明なため、関数シグネチャがどの関数に対応するかを確認する必要があります。

関数のシグネチャを確認すると、このシグネチャが mint 関数に対応していることがわかりました。つまり、攻撃者は直接 mint 関数を呼び出した後、攻撃プロセスを終了します。したがって、現時点では、mint 関数が認証されず、任意の minting につながる脆弱性を引き出すことができそうです。 Etherscan のトークン転送プロセスの分析を通じて、この推測も裏付けられるようです。

しかし、本当にそうなのでしょうか？

認証されていない任意の貨幣のアイデアを検証するには、契約の具体的なロジックを分析する必要があります。有料ネットワークは契約のアップグレード可能なモデルを使用しているため、特定のロジックコントラクト (0xb8...9c7) を分析する必要があります。しかし、Etherscan を確認したところ、ロジックコントラクトがオープンソースではないことがわかりました。