以太坊TIME合约被黑客攻击

背景介绍

近日，以太坊的TIME合约遭受黑客攻击，导致黑客获得了约18.8万美元的利润。这次攻击暴露了ERC2771原生元交易安全协议和Muticall批处理调用库的漏洞。

事件经过

在2023年12月7日，以太坊的TIME合约成为了第一个受到该安全问题影响的项目。然而，事情并不仅仅如此。在我们的追踪中发现，早在12月4日，thirdweb就发布了漏洞公告，称他们意识到了该安全漏洞，并已与相关项目方取得联系进行缓解措施。

协议背景简介

ERC2771原生元交易安全协议是为接收者合约定义了一种协议，通过可信转发器合约接受元交易。该协议允许以太坊接受来自没有ETH来支付Gas费用的外部账户的调用。另外，Multicall是一个用于批量处理多个调用的功能库，它通过循环调用DelegateCall函数实现了这一功能。

TIME合约事件信息

攻击交易：0xecdd111a60debfadc6533de30fb7f55dc5ceed01dfadd30e4a7ebdb416d2f6b6
攻击者地址：0xfde0d1575ed8e06fbf36256bcdfa1f359281455a
攻击合约：0x6980a47bee930a4584b09ee79ebe46484fbdbdd0
被攻击合约：0x4b0e9a7da8bab813efae92a6651019b8bd6c0a29

TIME合约事件漏洞分析

这次攻击利用了转发器合约调用TIME代币的multicall函数，并伪造了msg.sender以销毁pair中的代币。攻击者最终通过代币价格上涨兑换ETH获利。

TIME合约事件攻击流程

1. 攻击者使用WTH兑换了大量的Time代币作为准备资金。
2. 攻击者调用转发器的execute函数，并传入恶意的calldata。
3. execute函数调用Time代币的multicall函数，由于恶意设置了data的长度，使得msg.sender被截断。
4. multicall函数以pair的调用者身份调用burn函数销毁pair中的Time代币。
5. 攻击者调用pair中的sync函数同步pair中的储备量，使得Time代币价格上涨。
最终，攻击者通过兑换获得的Time代币获得了18.8万美元的利润。

以上事件再次提醒我们，智能合约的安全性至关重要。项目方需要加强对漏洞的识别和修复，以确保区块链生态系统的可持续发展和用户的资产安全。

郑重声明：本文版权归原作者所有，转载文章仅为传播信息之目的，不构成任何投资建议，如有侵权行为，请第一时间联络我们修改或删除，多谢。