比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

QUO:首發 | 一張支票提款兩次的作案手法 你一定不陌生 Paraluni 被攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni's MasterChef 合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

漏洞交易

攻擊者地址: https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f 

交易實例: https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

LBank藍貝殼于4月10日01:00首發 BOSON,開放USDT交易:據官方公告,4月10日01:00,LBank藍貝殼首發BOSON(Boson Protocol),開放USDT交易,4月9日23:00開放充值,4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ,可按凈充值量獲得等值1%的BOSON的USDT獎勵;交易賽將根據用戶的BOSON交易量進行排名,前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

合約地址

Masterchef合約: https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后,比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉,螞蟻礦機S17真機圖今天在網上首次曝光。

從曝光的圖片來看,螞蟻礦機S17延續上一代產品S15的雙筒風扇設計,且采用一體機的機身設計。有業內人士認為,采用雙筒設計可有效縮短風程,礦機出入風口的溫差變小,機器性能將得到很大改善。

此前比特大陸產品負責人在接受媒體采訪時表示,新品S17較上一代產品相比,無論是在能效比還是單位體積的算力等方面,均有較大提升。[2019/4/3]

攻擊流程

注意,這個攻擊流程是以下面這個交易為基礎的:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊,日前,比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱,新品將采用新一代散熱技術及全局優化定制方案。據了解,該散熱技術可能是指芯片的封裝技術,也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價,這或許是為決戰豐水期做出的準備。[2019/3/22]

準備階段:

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

在UBT代幣合約中,有兩個惡意的函數實現:

1. 在 "transferFrom() "函數中,攻擊者實現了對MasterChef的 "deposit() "函數的調用,以存入LP代幣。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

2. 一個 "withdrawAsset() "函數,將調用Masterchef的 "withdraw() "來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984 BSC-USD和157,210 BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。

然后,攻擊者調用 "depositByAddLiquidity() "函數,將LP代幣存入資金池。

1. 在調用此函數時:輸入參數“_pid ”為18,“_tokens ”為[UGT,UBT]。

2. 因為 depositByAddLiquidity() 會調用 “UBT.transferFrom()” 函數, 因此MasterChef.deposit() 函數會被觸發并且向合約存入 155,935 LP 代幣。

3. 因此, 155,935 LP 代幣被存入了兩次并且攻擊者獲得了兩份“userInfo” 的記錄 (一次是從 UBT, 另一次是從攻擊者的合約)。

最后,攻擊者提取了兩次:

1. 第一次是通過函數“UBT.withdrawAsset()”。

2. 另一個是來自攻擊者對 “Masterchef.withdraw() ”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。

合約漏洞分析

在函數`MasterChef.depositByAddLiquidity()`中,作為參數傳入的`_tokens`可以與池中的編號為`_pid`的tokens不匹配。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣(UBT)的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。

資產去向

截至3月13日,總共有價值約170萬美元的資產被盜。3000個BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。

寫在最后

該次事件可通過安全審計發現相關風險:審計可以發現重入問題和外部依賴問題。

同時,CertiK的安全專家建議:

時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。

關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特

除此之外,CertiK官網已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及Rug Pull相關的各種社群預警信息。

Tags:QUOUSDSONBOSONQUONusdk幣是什么意思SONDERboson幣v2

火必交易所
元宇宙:元宇宙ETF持續升溫機構加速布局下能否成投資熱點?

隨著“元宇宙”概念持續火熱,多家互聯網科技公司爭相申請“元宇宙”相關商標,元宇宙ETF也受到了市場投資者的熱捧,主流機構爭相申請推出元宇宙基金.

1900/1/1 0:00:00
比特幣:晚間必讀5篇 | 為什么以太坊Gas費又便宜了?

1.過億美元加密基金頻出 web3成重點關注賽道隨著加密貨幣在全世界范圍內關注度的與日俱增,圍繞加密項目而誕生的風投基金呈爆發之勢增長.

1900/1/1 0:00:00
元宇宙:元宇宙、時空互聯網與未來棲息地

過去一年來,元宇宙的概念進入公眾的視野。許多人才、投資流向這個領域的建設當中,也已經取得了一些局部成果.

1900/1/1 0:00:00
EFI:Jump Crypto:簡析 DeFi 玩家獲得額外收益的五種方式

原文標題:《Jump Crypto:DeFi玩家賺取穩定高收益的五個基本途徑》這篇文章從基本原理的角度來研究收益耕作,加密資產的運作獲得復合回報。它闡明了整個挖礦過程中最基本的價值交換.

1900/1/1 0:00:00
LABS:Yuga Labs的猿猴元宇宙野心:邁向Web3一代的漫威宇宙

作為如今NFT行業最具影響力的玩家之一,Yuga Labs是如何誕生的?它們又為何能如此成功?接下來將如何打造猿猴元宇宙?收購 CryptoPunks 在先,發幣、發空投、預熱游戲在后.

1900/1/1 0:00:00
NBS:一文讀懂“幫信罪”的前世今生及辯護要點

2021年的刑事辯護領域,最火熱的罪名莫過于幫助信息網絡犯罪活動罪(以下簡稱“幫信罪”),去年10月,最高檢發布了2021年前三季度全國檢察機關主要辦案數據顯示,在過去9個月里.

1900/1/1 0:00:00
ads