我们成功发现并验证了 ReachMe.io 平台存在的低成本漏洞,允许用户无需支付 1 BNB 费用即可与 CZ 等任意用户进行私信互动。这一重要发现让我们迅速联系了项目方团队,并详细提供了漏洞验证过程。作者:23pds & Thinking 编辑:Sherry
背景
昨天,当我在整理 APT 攻击相关资料时,山哥(@im23pds)突然兴奋地来到我身边:”Thinking,我发现了一个很有趣的项目,CZ 在高频使用,我们或许可以 0 成本和 CZ Say Hi。”这一发现立即引起了我们的高度关注,我们迅速梳理出几个可能的漏洞方向:一是劫持 CZ 在 ReachMe 的账号,二是修改 CZ 的账户设置,三是绕过 1 BNB 的消息费用限制,实现免费与 CZ 互动。
经过约 10 分钟的深入分析,我们成功定位到 ReachMe.io 平台存在一个低成本与任意用户私信的漏洞。在确认漏洞后,我们第一时间向项目方团队提交了详细的漏洞验证报告。令人赞赏的是,ReachMe 团队展现了高度的专业性和责任感,在收到报告后迅速修复了该漏洞,并主动与我们联系进行复测。这种对安全问题的严谨态度值得我们高度评价!(https://x.com/SlowMist_Team/status/1905212712956665896) 此外,慢雾安全团队也荣幸地获得了 CZ 和 ReachMe 项目方团队的致谢。(https://x.com/cz_binance/status/1905240886986039437)
发现过程
ReachMe.io 是一个基于 BNB Chain 的创新性付费聊天平台,通过加密货币支付机制连接 KOL(关键意见领袖)与粉丝。平台采用独特的商业模式:用户向 KOL 发送私信需支付 1 BNB,其中 KOL 获得 90% 费用(平台抽取 10%);若 KOL 5 天内未回复,用户可获 50% 退款。2025 年 3 月 27 日,币安创始人 CZ 将其 X 账号简介更新为:”DM: https://reachme.io/@cz_binance (fees go to charity)”,即”在 ReachMe 上私信我,费用将用于慈善事业”。
基于 CZ 每次私信需要 1 BNB 的设定,我们开始探索如何绕过这一费用限制。经过与山哥的深入研讨,我们发现 ReachMe 在向 KOL 发送消息时会通过 “/api/kol/message” 接口生成消息概要信息,其中包含 “_id” 字段。该字段会附加到链上合约的 Function: deposit(string _identifier,address _kolAddress) 使用,对应 _identifier 字段。同时,给 KOL 发送消息时附带的 BNB 实际上是调用合约 Function: deposit 时附带的 BNB 数量。
我们巧妙地构造了一笔交易,将 “Hi CZ” 消息对应的 “_identifier” 和 CZ 的地址,并附带 0.01 BNB(实际最低仅需 0.001 BNB)发送给合约。由于 ReachMe 在设计时并未将 KOL 发消息的成本预设到合约中进行检测(可能是为了方便 KOL 调整消息价格并节省 Gas 费),因此可以通过修改前端代码、篡改网络响应包或直接与合约交互来绕过 1 BNB 的限制。这是由于服务端在检索链上交易时也遗漏了消息价格与链上交易 BNB 数量的匹配检查。
经过约 10 分钟的精准操作,我们成功绕过了与 CZ 对话需要 1 BNB 的规则,仅花费 0.01 BNB 就实现了与 CZ 的私信互动。此外,我们还发现更深层次的利用方式,例如通过发送钓鱼消息进行攻击。但考虑到 CZ 的重要影响,我们决定放弃进一步测试,并提醒广大用户注意防范此类钓鱼行为。
总结
这类结合中心化与去中心化特征的产品设计,常常会出现链上与链下安全检查不一致的情况。攻击者可以通过分析链上链下的交互流程,找到绕过检查限制的突破口。慢雾安全团队建议项目方尽可能在链上和链下代码中同步必要的安全检查项,从源头上避免漏洞风险。同时,强烈建议项目方聘请专业的安全团队进行安全审计,及时发现并防范潜在的安全隐患。
本文网址:http://www.idea2003.cn/news/2589.html
相关推荐
-
加密早报:中美贸易协议达成,多位华语 KOL 及项目官方 X 账号被冻结
支付公司Stripe将收购加密货币钱包提供商Privy。 作者:深潮 TechFlow 昨日市场动态 特朗普:与中国的协议已达成,正等待批准 特朗普在社媒表示,与中国的协议已达成,…
-
SharpLink ETH豪赌疑云:溢价100%背后暗藏玄机?
SharpLink Gaming:从以太坊风口明星到市场信任危机的跌宕起伏 在以太坊国库叙事的浪潮中,SharpLink Gaming 曾被视为「以太坊版微策略」的明星小盘股,备受…
-
加密生存法则:7个避坑指南助你长久获利
在加密货币的波谲云诡中,真正的胜利者并非追逐短期暴利者,而是那些能够穿越周期、历经风雨依然屹立不倒的持久者。作者:Paul G 编译:白话区块链 回望三年加密市场之旅,最深刻的感悟…
-
美股上链再升温:STO发展路径与监管挑战解析
本文将深入探讨美股上链的可能性、路径及其长期影响,揭示这一新兴趋势背后的机遇与挑战。 主持人:Alex,Mint Ventures 研究合伙人嘉宾:民道,dForce创始人录制时间…
-
Double Zero获2800万美元投资 铺设Web3信息高速公路
Double Zero 是一个基于 DePIN 赛道的创新项目,它通过开放平台让任何人无需许可即可贡献独立光纤链路,为 Web3 世界构建起高效的信息高速公路。项目最核心的优势在于…
-
美国股市暴跌进入熊市 警惕抄底良机还是更大风险
市场情绪已跌至历史罕见的悲观谷底。 今日美国股市期货再度崩盘,标普500指数期货暴跌22%,正式跌破熊市门槛。过去32个交易日,美国股市累计蒸发4万亿美元市值,每日平均损失高达40…
-
X.ME AI+Web3重塑社交新体验:真实身份与价值激励并重
X.MEX.ME 驱动社交革命,构建新型社交生态 X.ME 是一款引领创新浪潮的社交媒体平台,通过深度融合人工智能技术,致力于重塑传统社交生态,有效应对信任危机。平台巧妙融合 We…
-
花旗银行:稳定币迎来ChatGPT时刻 发展趋势深度解析
预计稳定币供应仍将以美元计价为主(约90%),而非美国国家则会推动本国的CBDC发展。 撰文:AIMan@金色财经 2025年4月25日,花旗银行旗下花旗研究所(Citi Inst…
-
AI赋能Web3营销:设计到品牌定位的实战指南
在技术浪潮席卷全球的今天,掌握AI工具的市场营销人员将迎来前所未有的机遇,成为引领行业发展的“超级个体”。未来的营销人员只需掌握两大核心要素:创意思维与AI应用能力。作为市场营销的…
-
Gavin Wood深度解析:投机叙事如何建立在真正价值之上
当前加密行业与Web3的理念在哲学层面上存在显著对立。Polkadot创始人Gavin Wood博士近期接受Empire访谈时,分享了他对加密行业的深刻见解。他认为,当前行业炒作现…