安全月报 | 10月共发生安全事件10起，DeFi借贷平台成黑客洗钱新选择

10 月 14 日，Cheeze Wizards 在以太坊主网上线。不到24小时内，玩家 @samczsun 向官方反映，游戏合约存在一个严重的漏洞，使用该漏洞可以让玩家处于不败之地。随后 Cheeze Wizards 决定采用分叉的解决方案来保护用户的权益。官方之后修复了此漏洞并部署了新的智能合约，同时弥补了用户遭受的损失。

如下图，这一漏洞主要发生在智能合约的 resolveTimedOutDuel(uint256,uint256) 方法中。

作为一款格斗游戏， Cheeze Wizards 允许玩家发起一个 “单边揭示“ 的交易，当一位玩家已经揭示了招式，另一位玩家一直不揭示招式直到时间截止 (90 分钟)时，正常玩家可以调用 resolveTimedOutDuel() 方法，以此来夺走不揭示招式玩家的能量。而问题的关键在于谁先调用并如何调用该方法。

玩家正常调用和恶意调用的例子如下。

正常调用：resolveTimedOutDuel(WIZARD-A，WIZARD-B)

恶意调用：resolveTimedOutDuel(WIZARD-A，WIZARD-A)

由于合约开发者默认为传入的两个 wizard id 不同，所以没有进行相关效验，而该方法是公开的，任何玩家都可以设置 wizard id，一个怀有恶意的玩家，通过传入相同的 wizard id 以此来冻结诚实玩家的能量。

修复此漏洞的方法很简单，只需要在方法体内加上如下判断。

PeckShield 点评：智能合约开发者在实现相关方法时，要特别注意公开接口的相关参数，应考虑各种异常情况，做好防御限制。

PeckShield 旗下的 CoinHolmes 推出的可视化的数字资产追踪服务也一直监控着跑路和被盗资产的异动情况。

其中 CoinHolmes 监测到 Cryptopia 部分被盗资产流入了 Uniswap 去中心化交易所和知名 DeFi 项目 Compound。资产流向示意图如下：

鉴于资金盘跑路诈骗事件频发， CoinHolmes 为广大用户提供了爆料入口，用户可以通过（https://forms.coinholmes.com）提交关联链上地址（可点击左下角阅读原文进入），实时查询数字资产流向情况。

PeckShield 点评：除了传统中心化交易所，黑客也在不断寻求新的洗钱方式，例如此次黑客转移资金至 Compound， 主要目的是利用 DeFi 借贷平台进行混淆资金洗钱，同时不排除“理财生息”的可能。除 DEX 之外，当前有着较好流通性的 DeFi 借贷平台也成了黑客洗钱的新选择。