慢霧分析Multichain被盜經過，合約一函數未檢查用戶傳入Token的合法性_YIN:YinYang

?Multichain(AnySwap)此前一個影響6個跨鏈Token的關鍵漏洞被利用，導致被盜取445ETH。慢霧安全團隊分析了安全事件經過，

1.用戶可以通過Multichain的AnyswapV4Router合約進行資金跨鏈操作，在進行資金跨鏈時用戶需要將待跨鏈的代幣授權給AnyswapV4Router合約。??

2.AnyswapV4Router存在anySwapOutUnderlyingWithPermit函數。此函數允許用戶在鏈下進行授權簽名，鏈上驗證并授權的操作。在此函數中，其會先通過調用用戶傳入的Token地址的underlying函數來獲取underlying代幣地址(正常情況下用戶傳入的Token地址應該是anyToken，獲取underlying代幣應該是用戶要跨鏈的資產，如anyUSDT與USDT)，隨后通過underlying代幣的permit函數進行簽名檢查與授權操作，授權完成后通過safeTransferFrom將代幣轉入anyToken合約中，最后通過_anySwapOut觸發事件。??

慢霧旗下Web3安全工具MistTrack已集成GPT:5月6日，據官方公告，慢霧旗下 Web3 安全工具 MistTrack 已集成 GPT，GPT 將會幫助對 AML 風險評分、交易行為分析、地址概況分析和交易時間分析等提供詳細的解釋。[2023/5/6 14:47:20]

3.但由于anySwapOutUnderlyingWithPermit函數中未檢查用戶傳入的token的合法性，且由于WETH代幣不存在permit函數的同時實現了fallback函數，而permit函數接口也恰好沒有返回值，因此在對WETH合約的permit函數進行調用時是不會拋出錯誤的。攻擊者正是利用此問題構造了惡意的Token地址，使得anySwapOutUnderlyingWithPermit函數獲取的underlying為WETH，將先前有將WETH代幣授權給AnyswapV4Router合約的用戶的WETH直接轉移到攻擊者惡意構造的Token地址中。??

慢霧安全工程師：安全審計是目前保護DeFi項目安全最高性價比的方式:12月30日，在慢霧科技主辦的Hacking Time區塊鏈安全攻防峰會上，慢霧科技高級安全工程師yudan和Kong根據bZx最早期的兩次閃電貸攻擊案例，介紹了閃電貸基本的攻擊形式——代幣價格操縱，詳細講述了基于價格操縱的閃電貸的防御方案以及在其價格無法被操縱的情況下，如何利用閃電貸另辟蹊徑，通過操縱 LP Token的單價來進行獲利。并通過慢霧被黑檔案庫與大家一起回顧了2020 DeFi被黑事件。

yudan和Kong認為，DeFi安全形勢嚴峻，安全審計是目前保護項目安全最高性價比的方式。在當下DeFi黑暗森林里我們在臨淵而行，需如履薄冰。[2020/12/30 16:04:29]

此次主要是由于anySwapOutUnderlyingWithPermit函數未檢查用戶傳入的Token的合法性，且未考慮并非所有underlying代幣都有實現permit函數，導致用戶資產被未授權轉出。慢霧安全團隊建議：應對用戶傳入的參數是否符合預期進行檢查，且在與其他合約進行對接時應考慮好兼容性問題。??

聲音 | 慢霧科技余弦：數字貨幣行業缺乏國家相關的監管背書，有很多的亂象:據《每日經濟新聞》消息，區塊鏈生態安全公司慢霧科技創始人余弦在接受采訪時分析，簡單來說，幣圈的風險主要有兩個。第一個風險是地下黑客，當前的幣圈，無論是基礎設施還是上層建筑都比較脆弱，相對互聯網來說，攻擊者的攻擊成本很低。通過這些攻擊手法，地下黑客能夠盜取很多數字貨幣。第二個風險是這個行業缺乏監管，缺乏國家相關的監管背書，有很多的亂象，比如說各種資金盤、等，這些行為其實都是打著區塊鏈噱頭的非法集資。而針對如何保護數字貨幣的安全，余弦表示，這是一個新的行業，小白投資者應該多學習這個行業的知識，不要只看表面。隨著知識的加深，對很多表面上的包裝、噱頭，自己就會有一些判斷。另外，存儲數字貨幣的手機、電腦，要安裝殺軟件。不使用通過不明渠道下載的軟件來存儲數字貨幣，這是最基本的安全防范。[2019/8/30]

參考交易:https://etherscan.io/tx/0xd07c0f40eec44f7674dddf617cbdec4758f258b531e99b18b8ee3b3b95885e7d

Tags：ANYINGSWAPYINANY BlocknetUrGamingCentric SwapYinYang

Gateio