BTC/HKD-0.56%
ETH/HKD-1.78%
LTC/HKD-3.3%
DOT/HKD+0.37%
ADA/HKD-4.69%
SOL/HKD-2.28%
XRP/HKD-6.85%
DOGE/US-5.17%北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。
下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。
合約地址
Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code
數據:Spark Protocol TVL已達3.4億美元,過去一周增長5倍:8月10日消息,據DefiLlama數據信息,MakerDAO旗下借貸協議Spark Protocol TVL已達3.47億美元,過去一周增長5倍。
金色財經此前報道,8月7日,MakerDAO已通過并執行提高Spark Protocol債務上限等提案。[2023/8/10 16:17:22]
攻擊者部署了兩個惡意的代幣合約UGT和UBT。
在UBT代幣合約中,有兩個惡意的函數實現:
P2E游戲The Parallel完成430萬美元融資:12月15日消息,P2E游戲 The Parallel 宣布完成 430 萬美元融資,本輪融資由 Kyber Ventures 和 Signum Capital 領投,Okex Blockdream Ventures、Moonrock Capital、GD10 Ventures、HUB Global、UG Ventures、AstroV Ventures、Coincu、RADA 等機構及其他天使投資人參投。據悉,The Parallel是一款類似The Sandbox的去中心化虛擬世界游戲。[2021/12/15 7:41:15]
????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。
游戲巨頭Epic Games為專注于元宇宙而關閉社交視頻應用Houseparty:9月10日消息,游戲巨頭Epic Games將于10月關閉旗下熱門社交視頻應用Houseparty,并將吸收后者團隊,致力于“創造新的方式,在整個Epic Games家族中以元宇宙的規模進行有意義的、真正的社交互動。”據悉,Epic Games在2019年以3500萬美元收購了Houseparty。去年,Houseparty已被整合進Epic Game的旗艦游戲《堡壘之夜》中,允許用戶在玩游戲時進行視頻聊天。今年早些時候,Epic Games完成10億美元融資,以支持構建元宇宙的愿景。(華爾街日報)[2021/9/10 23:14:57]
????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。
攻擊階段:
攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。
攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。
然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。
???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。
????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。
???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。
最后,攻擊者提取了兩次:
???????1.?第一次是通過函數“UBT.withdrawAsset()”。
???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。
`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。
BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。
時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。
關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
大家好,我是福爾摩斯,價值投資雖然不能保證我們穩步盈利,但價值投資給我們提供了走向真正成功的唯一機會。眼睛僅盯在自己小口袋的是小商人,眼光放在世界大市場的是大商人.
1900/1/1 0:00:00Gate.ioCopyTradingisnowhometo16quantitativeproducts.
1900/1/1 0:00:00雖然俄烏局勢依然緊張,但對于大宗商品以及金融市場的影響逐漸減弱;伴隨美國2月份通脹數據如預期走高,美聯儲3月政策調整成為近期影響加密市場的主要因素.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線GTH,詳情如下:上線交易對:GTH/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2022年3月16日15:00提現功.
1900/1/1 0:00:00一、項目介紹 Wemix是一個區塊鏈生態系統,旨在為基于區塊鏈的游戲和DApps提供基礎設施,以便在沒有高gas費或低交易速度等障礙的情況下運行.
1900/1/1 0:00:00Gate.io將於2022年3月10日22:00上線IndiGG(INDI)交易。IndiGG是YieldGuildGames(YGG)的一個子DAO,它與Polygon聯合建立,旨在在印度創建.
1900/1/1 0:00:00
比特幣行情
