Cosmos SDK锁定账户未授权资金转移漏洞分析

未授权代币从锁定账户转移 | HackerOne报告 #2976481

影响摘要

攻击者可以从其不拥有的锁定账户转移资金(如果账户有解锁资金,可能在锁定期结束后)。POC针对周期性锁定账户完成,但由于问题似乎存在于SendCoins中,且被所有锁定账户使用,因此更多锁定账户可能受到影响。当调用函数时,它从消息msg.Sender传递发送者,在checkSender中检查发送者==所有者。但问题在于msg.Sender未在任何地方验证,因为此消息被打包到MsgExecute中。执行时,它将原始发送者设置到上下文中。对于多签账户,它正确地从ctx中获取。至少在我查看的那些地方是这样。但这些锁定账户从消息中获取它,而它可以是任何值。

POC场景

我们首先在受害者处创建周期性锁定账户。锁定期较短,因此我们无需等待太久。
然后我们等待锁定期结束并将资金转移给攻击者。

复现步骤

需要Go和Rust

  1. 检出最新版本的cosmos-sdk并运行make build。注意二进制文件的路径,完成后替换setup_chain中的路径。
  2. 使用附加的Cargo.toml创建Rust项目。下载所有附加的*.rs文件并将其放入src文件夹。
  3. 确保setup_chain具有执行权限。运行./setup_chain。等待其启动,然后运行Rust项目。参见POC视频。

视频 F4027705: accounts.mov 209.60 MiB 放大 缩小 复制 下载

解决方法

似乎没有

支持材料/参考

  • setup_chain - 设置并启动链的脚本
  • main.rs, types.rs, client.rs, func.rs, msg.rs 和 Cargo.toml 攻击本身。抱歉文件较多。我可能会将其全部推送到某处并更新报告。
  • attack.mov - POC视频

影响

攻击者可以接管某人在锁定账户上锁定然后解锁的资金。POC特别演示了周期性锁定账户。但有理由相信更多锁定账户受到影响。

时间线

  • 2025年2月6日 12:42 UTC: unknown_feature 提交报告
  • 2025年2月6日 12:50 UTC: 更新漏洞信息
  • 2025年2月6日 12:52 UTC: 更改报告标题
  • 2025年2月6日 01:11 UTC: 提供补充文件链接
  • 2025年2月6日 02:57 UTC: 状态更改为已分类
  • 2025年2月7日 01:53 UTC: 严重性更新为高
  • 2025年2月7日 01:55 UTC: 团队已发布补丁
  • 2025年2月7日 07:25 UTC: 严重性从高更新为严重
  • 2025年2月25日 00:55 UTC: 奖励赏金,报告状态更改为已解决
  • 2025年5月30日 12:30 UTC: 请求披露此报告
  • 2025年6月29日 12:30 UTC: 报告已披露

严重性: 严重 (9 ~ 10)
弱点: 不当的访问控制 - 通用
CVE ID: 无
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-08-30 21:31  qife  阅读(6)  评论(0)    收藏  举报