DEUS被攻击事件的漏洞分析

中国北京时间2023年5月6日，DEUS的安稳币 DEI 合约存在 burn 逻辑缝隙，进犯者已盈利约 630 万美金。

SharkTeam 针对此事情进行了技能指标分析，并总结了安全防护方法。希望未来的项目能以此为教训，共同构建区块链行业的安全屏障。

一、事情分析

进犯者详细地址：
0x08e80ecb146dc0b835cf3d6c48da97556998f599

进犯合约：
0x2b1a7a457a2c55ba1e03c087cc3e4e5b05b6360f

缝隙合约：
0xDE1E704dae0B4051e80DAbB26ab6ad6c12262DA0

进犯买卖：
0xde2c8718a9efd8db0eaf9d8141089a22a89bca7d1415d04c05ba107dc1a190c3

该进犯买卖买卖执行过程：
1. 首要，进犯者（0x08e80ecb）启用了进犯合约（0x2b1a7a45）的进犯函数公式。
2. 在进犯函数中，启用缝隙合约（0xDE1E704d）的 approve->burnFrom->transferFrom 函数公式。
3. 在 transferFrom 函数公式中，将 110 万 DEI 搬迁到咱们的帐户，最终经过正确的 swap 将 DEI 换成 USD 并转移至进犯者（0x08e80ecb）。

缝隙分析：
在 burnFrom 函数中，直接将 sender 对 account 的 allowance 与 account 对 sender 的 allowance 展开了复制。

进犯者主要对缝隙合约（0xDE1E704d）进行了 approve 的最高值，然后启用 burnFrom 函数公式键入 amount=0，即直接将缝隙合约对进犯合约的 approve 值设为最高。

接着当即启用 tranferFrom 函数公式将 110 万 DEI 搬迁到咱们的详细地址，最终经过 pair 买卖兑换为 USD 进行进犯。

缝隙汇总：
此次事情的根源在于缝隙合约（RouteProcessor2）burnFrom 的管理权限问题或 _allowance 参数传递不正确的问题。实际上，需求依据项目的详细需求进行调整，可以经过设定适宜的管理权限或修改 _allowance[_msgSender][account] 为 _allowance[account][_msgSender] 等方法进行处理。

二、安全建议
针对此次进犯事情，大家在实施过程中应注意以下常见问题：
1. 在开发与财务相关的逻辑运算时，应仔细考虑范畴模型的准确性。
2. 此次缝隙的 burnFrom 函数是在 4 月 16 日进行合约更新时引进的。因此，在项目发布或更新合约之前，有必要经过第三方技能专业财务审计团队对合约进行审计。

关于咱们
SharkTeam 的愿景是全方位保障全球 Web3 的安全性。咱们的精英团队由来自全国各地的资深安全专业人员和高级科学研究人员组成，熟练掌握区块链智能合约的底层基础理论，并提供专业的智能合约财务审计、链上分析、紧急处置等服务。咱们已与 Polkadot、Moonbeam、Polygon、OKC、HuobiGlobal、imToken、ChainIDE 等区块链生态体系的重要参与者建立了长期协作伙伴关系。

官方网站：https://www.sharkteam.org
Twitter：https://twitter.com/sharkteamorg
Discord：https://discord.gg/jGH9xXCjDZ
Telegram：https://t.me/sharkteamorg

转载：驼鸟区块链

此时快讯

【Hashkey Capital流动资金和研究合伙人：香港已经为下一波大规模加密货币采用做好了准备】金色财经报道，Hashkey Capital流动资金和研究合伙人Jupiter Cheng表示，香港已经为下一波大规模加密货币采用做好了准备，大量加密货币人才涌入这个充满抱负的数字资产中心。新的Web3项目与加密货币积极的监管发展相结合，为香港在未来四年内的显着增长做好了准备至五年。所有这些新的、不同的项目，以及它们的创始人和团队都在这里，顺便说一句，这都是真实的GDP。这些团队已经在促进银行业和资本市场活动。