今日运势评分

-8

本月运势

癸未月

震荡偏多

丁破格,酉金生水
丙不修灶必见灾殃
申不安床鬼祟入房

修造,动土,安机械,祭祀,沐浴,解除,拆卸,治病,作灶,盖屋,起基,开池,扫舍,造畜稠,开生坟,合寿木,安葬,破土,启钻,移柩,入殓,立碑

开市,入宅,出行,安床

月相

既朔

冲顶回落

日冲

Powered by RitMEX

TRUMP10.26 1.44%

SUI4.20 5.14%

TON3.33 -0.13%

TRX0.32 0.93%

DOGE0.24 1.74%

XRP3.21 1.96%

SOL187.44 0.80%

BNB796.61 1.87%

ETH3789.60 1.20%

BTC118251.25 0.63%

ETH Gas0.21 Gwei

贪婪
72

SharkTeam:Hedgey Finance 被攻击事件分析

本次事件的根本原因是项目方智能合约在实现逻辑上存在代币批准漏洞。

撰文:SharkTeam

2024 年 4 月 19 日,Hedgey Finance 遭受多笔攻击交易,损失超过 200 万美元。

SharkTeam 对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。

一、攻击交易分析

Hedgey Finance 被过个攻击者发起了多次攻击,利用代币批准漏洞,盗取了 ClaimCampaigns 合约中的大量代币。

以其中涉及金额最大的一笔交易为例,涉及金额约 130 万美元:

攻击交易:0x2606d459a50ca4920722a111745c2eeced1d8a01ff25ee762e22d5d4b1595739

攻击者:0xded2b1a426e1b7d415a40bcad44e98f47181dda2

攻击合约:0xc793113f1548b97e37c409f39244ee44241bf2b3

目标合约:0xbc452fdc8f851d7c5b72e1fe74dfb63bb793d511(ClaimCampaigns)

该交易直接从 ClaimCampaigns 合约中转移走了 1,303,910.12 USDC。交易详情如下:

实际发起攻击的交易是

0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517(简记为 0xa17f)

攻击过程如下:

1 从 Balancer 中闪电贷 1.305M USDC。

2 调用 ClaimCampaigns 合约中的 createLockedCampaign 函数。在该函数中,攻击合约会将 1.305M USDC 存入 ClaimCampaigns 合约中,然后 laimCampaigns 合约会将转入的 1.305M USDC 批准给攻击合约使用。

3 调用 ClaimCampaigns 合约中的 cancelCampaign 函数。在该函数中,攻击合约将存入的 1.305M USDC 提取出来,但在 createLockedCampaign 函数中批准给攻击合约的 USDC 并没有取消。

4 攻击合约偿还 Balancer 的闪电贷。

在该交易中,攻击合约将保存在 ClaimCampaigns 合约中的 1.305M USDC 提取走后,ClaimCampaigns 合约批准给攻击合约的 1.305M USDC 并没有取消,因此攻击合约可以直接调用 USDC 的 transferFrom 函数再次从 ClaimCampaigns 合约中转移走 1.305M USDC。这也是交易 0xa17fdb804728f226fcd10e78eae5247abd984e0f03301312315b89cae25aa517 实现的功能。

通过以上两笔交易,攻击者从 ClaimCampaigns 合约中盗取了 1.305M USDC。

除了 USDC 外,该攻击者利用此漏洞还从 ClaimCampaigns 合约中盗取了大量的 NOBL Token,加上 USDC,总价值超过 200 万美元。

二、漏洞分析

本次事件的根本原因是项目方智能合约在实现逻辑上存在代币批准漏洞,使得攻击者可以利重复转移目标合约批准给 msg.sender 中的 Token。

智能合约 ClaimCampaigns 的 createLockedCamaign 函数会将 msg.sender 的 Token 存入到目标合约中,并将这些 Token 批准给 msg.sender。

cancelCampaign 函数会将存入的 Token 提取出来,但却并没有取消代币的批准。

攻击者利用此漏洞,直接调用 Token 的 transferFrom 函数从目标合约中再次转移走批准的代币。

三、安全建议

针对本次攻击事件,我们在开发过程中应遵循以下注意事项:

(1)项目在设计和开发过程中,要保持逻辑的完整性和严谨性,尤其是涉及到资产的转移过程中,在转移 Token 时保证同步代币批准的数量,避免上面转移走了 Token 但没有取消批准的情况。

(2)项目上线前,需要由第三方专业的审计公司进行智能合约审计。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者SharkTeam
相关文章
2025.07.27 - 2 小时前
CEO 复盘:从每月亏损 260 万美元到实现盈利,Medium 如何「断臂求生」?
如何拯救一家连投资人都不想要的的创业公司?
2025.07.26 - 昨天
经济学人:如果稳定币真的有用,它们也将真正具有颠覆性
认为加密货币尚未产生任何值得关注的创新的观点早已成为过去式。
2025.07.25 - 前天
Hotcoin Research | 揭秘山寨季板块轮动规律、当前阶段与趋势预测
加密市场的山寨季,既是平凡投资者实现财富跃迁的舞台,也是贪婪恐惧相互交织的修罗场。
2025.07.25 - 前天
连线杂志:特朗普时代,加密企业的「银行破冰」时刻
多年来,加密企业在美国一直被银行体系拒之门外。而特朗普政府上台后,一众金融科技公司却向加密企业抛出了橄榄枝。
2025.07.25 - 前天
加密货币大爆炸将彻底改变金融
认为加密货币尚未产生任何值得关注的创新的观点早已成为过去式。
2025.07.25 - 前天
以太坊点燃行情,Solana 接棒狂飙:山寨季来了?
多个链上数据与资金流向信号显示,一轮由山寨币主导的行情,可能已经悄然启动。
2025.07.25 - 前天
ETH vs SOL:2025 加密战争,万亿资本押注新旧秩序
一个沉淀为制度资产,一个爆发为消费主链。
2025.07.25 - 前天
加密早报:LetsBONK 承诺回购头部代币,OSL 集团拟配股筹资约 23.55 亿港元
Tron Inc.宣布将于7月24日敲响纳斯达克开市钟。
2025.07.24 - 3 天前
费用开关,ENA 币价起飞的牛市「猛药」
基于 Ethena 当前的收益水平,持币者可获得非常具有竞争力的收益率。
2025.07.24 - 3 天前
加密牛市静悄悄
留给散户的机会不多了。