比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

SHA:SharkTeam:BNO攻擊事件原理分析

Author:

Time:1900/1/1 0:00:00

北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。

SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。

攻擊者地址:

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻擊合約:

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

CoinShares:上周加密貨幣投資產品凈流入700萬美元:9月19日消息,據CoinShares周報數據,上周數字資產投資產品凈流入總額為 700 萬美元,其中比特幣的流入總額為 1740 萬美元,以太坊的流出總額為 1540 萬美元。空頭比特幣也有小幅流入,總計 260 萬美元,總資產管理規模接近創紀錄的 1.69 億美元。從地區來看,資金流入主要集中在美國和德國,總額分別為 1400 萬美元和 1100 萬美元。而瑞典和加拿大的資金外流分別為 1600 萬美元和 420 萬美元。[2022/9/19 7:06:30]

被攻擊合約:

0xdCA503449899d5649D32175a255A8835A03E4006

以太坊第一個主網影子分叉(shadow fork)上線:金色財經消息,隨著以太坊逐漸向權益證明 (PoS) 機制過渡,以太坊的第一個主網影子分叉(shadow fork)周一正式上線。

以太坊基金會開發人員Parithosh Jayanthi表示,影子分叉是“對關于同步和狀態增長的假設進行壓力測試”的一種方式,它還將提供“一種方法來檢查我們的假設是否適用于現有的測試網和/或主網”。Jayanthi警告說,影子分叉將與以太坊主網絡共享一些數據,因此一些交易可能會出現在兩條鏈上。以太坊開發人員 Tim Beiko 表示,影子分叉的結果是確定最終合并時間的關鍵。

根據開發商Marius Van Der Wijden分享的區塊瀏覽器數據 ,截至發稿時,影子分叉已經處理了1,166,016筆交易,平均出塊時間為14.8秒。

此前4月11日晚間消息,以太坊開發者稱,正在以太坊上測試PoS,并將進行首次主網影子分叉。(CoinDesk)[2022/4/12 14:18:37]

攻擊交易:

CoinShares:加密基金結束連續五周的資金外流,機構投資者再次看漲:根據加密貨幣管理公司CoinShares 7月5日的報告,在連續五周的資金外流之后,上周數字資產投資基金和產品在一個多月以來首次出現流入。上周總共有6300萬美元的資金流入了加密貨幣基金。這表明盡管市場出現了大規模調整,但機構投資者正在再次看漲。此外,根據CoinShares的數據,比特幣的交易額現已達到2020年11月以來的最低水平,這表明對比特幣交易的興趣正在減弱。(U.today)[2021/7/6 0:29:15]

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

聲音 | ShapeShift創始人:Libra讓美國立法者感到不安 因為他們害怕失去美元主導地位:加密貨幣交易所ShapeShift創始人兼首席執行官Erik Voorhees在博客分享關于加密生態系統中發生的幾件事的看法。 Voorhees首先談到最近在交易所中增加強制注冊和KYC。他表示,大量的黑客攻擊對那些最大交易所產生了廣泛的影響,導致Shaes Shift命令用戶需要完成KYC。 他表示,比特幣社區憎惡其他加密項目,并在推特上攻擊其他項目上,這是一個令人悲哀的景象。“我認為自己是整個加密貨幣生態系統的一部分,而不僅僅是比特幣生態系統,也不僅僅是以太坊生態系統。” Voorhees解釋了Facebook的Libra如何因其兩個主要設計脫穎而出——它是使用區塊鏈技術建造的,而且它不僅僅由一種法定貨幣支撐,而是一籃子法定貨幣。Voorhees認為,Facebook的加密冒險讓美國立法者感到“不舒服”,因為他們擔心失去對世界金融體系的主導地位。他補充說,Facebook的全球影響力對他們構成了比特幣或其他加密貨幣更大的威脅。(AMBCrypto)[2019/8/14]

攻擊流程:

(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。

(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。

(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。

(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO

(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。

(6)循環上述過程,持續獲得額外的BNO代幣

(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。

本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。

合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。

而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。

針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:

(1)在進行獎勵計算時,校驗用戶是否提取本金。

(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。

金色財經

金色薦讀

Block unicorn

區塊鏈騎士

金色財經 善歐巴

Foresight News

深潮TechFlow

Tags:SHA以太坊NFT比特幣Milkshake Swap以太坊幣最新價格美元行情GNFT幣玩比特幣的人是傻子嗎

以太坊價格
GAM:GameFi 的十字路口 (下):兩類 GameFi 的創新策略

點擊閱讀:GameFi 的十字路口 (上):繼續P2E 還是尋求突破 目錄 05/ GameFi 的兩個基本方向06/ Gamification Finance 方向:前途依.

1900/1/1 0:00:00
比特幣:被“低估”的BTC生態:背后大玩家、價值和歷史

“Ordinals 標志著建設者文化的回歸!”7月7日,以太坊創始人 Vitalik Buterin 在Twitter Space《比特幣能從以太坊學到什么》中.

1900/1/1 0:00:00
SIM:數字人民幣SIM卡硬錢包上線 碰一碰即付款 無電無網仍能支付

作者:葉曉珺 來源:每日商報“碰一碰”即付款!“SIM卡硬錢包”終于上線了!近日,中國移動、中國電信、中國聯通和中國銀行、工商銀行共同研發的數字人民幣SIM卡硬錢包正式上線數字人民幣A.

1900/1/1 0:00:00
區塊鏈:解讀谷歌商店數字資產政策:允許應用和游戲中出現NFT 不許在設備上挖礦

作者:Jordan,PANews7月13日,谷歌“突然”宣布旗下應用商店Google Play已調整代幣化數字資產(Tokenized Digital Assets)政策,這是一次重大政策轉變.

1900/1/1 0:00:00
區塊鏈:當下金融環境六種持倉策略

在當前的全球金融環境下,無論是新興區塊鏈Web3行業,還是傳統金融行業,都經歷著撲朔迷離,機會與暗流同在世紀級迷霧局勢.

1900/1/1 0:00:00
以太坊:拆解以太坊 ZK 協處理器 Axiom 技術優勢

作者:Mask NetworkETHShanghai 2023 峰會中,Axiom 創始人 Yi Sun 介紹了以太坊的 ZK 協處理器 Axiom 以及其在數據訪問和計算能力方面的重要性.

1900/1/1 0:00:00
ads