比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > BTC > Info

PAR:Paraluni被攻擊事件分析:一張支票提款兩次的作案

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

數據:Spark Protocol TVL已達3.4億美元,過去一周增長5倍:8月10日消息,據DefiLlama數據信息,MakerDAO旗下借貸協議Spark Protocol TVL已達3.47億美元,過去一周增長5倍。

金色財經此前報道,8月7日,MakerDAO已通過并執行提高Spark Protocol債務上限等提案。[2023/8/10 16:17:22]

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

在UBT代幣合約中,有兩個惡意的函數實現:

P2E游戲The Parallel完成430萬美元融資:12月15日消息,P2E游戲 The Parallel 宣布完成 430 萬美元融資,本輪融資由 Kyber Ventures 和 Signum Capital 領投,Okex Blockdream Ventures、Moonrock Capital、GD10 Ventures、HUB Global、UG Ventures、AstroV Ventures、Coincu、RADA 等機構及其他天使投資人參投。據悉,The Parallel是一款類似The Sandbox的去中心化虛擬世界游戲。[2021/12/15 7:41:15]

????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。

游戲巨頭Epic Games為專注于元宇宙而關閉社交視頻應用Houseparty:9月10日消息,游戲巨頭Epic Games將于10月關閉旗下熱門社交視頻應用Houseparty,并將吸收后者團隊,致力于“創造新的方式,在整個Epic Games家族中以元宇宙的規模進行有意義的、真正的社交互動。”據悉,Epic Games在2019年以3500萬美元收購了Houseparty。去年,Houseparty已被整合進Epic Game的旗艦游戲《堡壘之夜》中,允許用戶在玩游戲時進行視頻聊天。今年早些時候,Epic Games完成10億美元融資,以支持構建元宇宙的愿景。(華爾街日報)[2021/9/10 23:14:57]

????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。

然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。

???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。

????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。

最后,攻擊者提取了兩次:

???????1.?第一次是通過函數“UBT.withdrawAsset()”。

???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。

BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。

時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。

關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags:PARTERASTGAMsparta幣在那個交易所BUTTERPLASTIK價格NEWTOWN GAMING

BTC
AVE:無限虛擬空間(IVS)正式成立,勢必成為下一個元宇宙新王!

大家好,我是福爾摩斯,價值投資雖然不能保證我們穩步盈利,但價值投資給我們提供了走向真正成功的唯一機會。眼睛僅盯在自己小口袋的是小商人,眼光放在世界大市場的是大商人.

1900/1/1 0:00:00
GAT:Gate.io Presents High Quality Trading Strategies To Facilitate Your Trading Experience

Gate.ioCopyTradingisnowhometo16quantitativeproducts.

1900/1/1 0:00:00
BTC:每日行情解讀 | 美國通脹數據繼續走高,加密市場下跌風險依然較大

雖然俄烏局勢依然緊張,但對于大宗商品以及金融市場的影響逐漸減弱;伴隨美國2月份通脹數據如預期走高,美聯儲3月政策調整成為近期影響加密市場的主要因素.

1900/1/1 0:00:00
KEX:BKEX 關于上線 GTH( Gather) 并開放充值功能的公告

尊敬的用戶:?????????BKEX即將上線GTH,詳情如下:上線交易對:GTH/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2022年3月16日15:00提現功.

1900/1/1 0:00:00
MIX:WEMIX Token (WEMIX)

一、項目介紹 Wemix是一個區塊鏈生態系統,旨在為基于區塊鏈的游戲和DApps提供基礎設施,以便在沒有高gas費或低交易速度等障礙的情況下運行.

1900/1/1 0:00:00
GATE:Gate.io 即將上線IndiGG (INDI)交易的公告

Gate.io將於2022年3月10日22:00上線IndiGG(INDI)交易。IndiGG是YieldGuildGames(YGG)的一個子DAO,它與Polygon聯合建立,旨在在印度創建.

1900/1/1 0:00:00
ads