合約漏洞:pNetwork被黑事件分析
北京時間9月20日凌晨,pNetwork跨鏈項目遭到黑客攻擊,黑客利用BSC上pBTC的代碼漏洞,竊取了277枚BTC,損失價值高達1270萬美元。?
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
Level Finance因合約漏洞被盜超過100萬美元LVL代幣:金色財經報道,去中心化交易所Level Finance遭遇安全漏洞,攻擊者利用Level Finance智能合約中的“索賠倍數”漏洞從交易所竊取了超過214000個LVL代幣,價值超過100萬美元,并將LVL兌換成3345BNB。[2023/5/2 14:38:07]
一、事件分析
https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934
SharedStake發布被攻擊報告:系內部人員利用合約漏洞所為:以太坊2.0質押解決方案SharedStake發布被攻擊報告稱,此前SharedStake代幣在正式推出前被鑄造的原因在于內部人員利用時間鎖合約(即在固定時間執行某操作的智能合約)漏洞所為。該漏洞于4月26日由白帽Lucash-dev提交給團隊,某位團隊成員因有查看漏洞的權限,于是利用該漏洞于6月19日和23日四次在主網鑄造了價值約50萬美元的代幣并于正式推出后進行了拋售、抵押等操作。雖然沒有足夠的證據,但SharedStake核心成員懷疑是團隊新成員所為。SharedStake表示目前正在修復漏洞,并將在以后對協議資金進行多簽管理。[2021/6/24 0:02:29]
智能合約漏洞賞金平臺Immunefi為88mph提供4.2萬美元賞金:智能合約漏洞賞金平臺Immunefi宣布接入DeFi固定利率生成協議88mph(MPH),經評估后為88mph提供42,069美元最高等級的漏洞獎金。[2021/2/2 18:42:26]
以其中一筆交易進行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整個攻擊寫在攻擊合約的構造函數中,并在攻擊完成后調用selfdestruct()函數銷毀合約,使得無法看到攻擊合約的細節內容。通過交易的事件并結合PToken合約源碼可知,攻擊者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作為輸入數據委托調用redeem函數。
隨后通過攻擊合約發送多個Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。
觸發的redeem事件都是向攻擊者的多個比特幣地址轉賬相同數量1.38個左右的bitcoin,這是跨鏈攻擊中重要的環節。
以其中的一個比特幣地址查詢,可查到相同數量的bitcoin到賬。
通過pToken的介紹可知,跨鏈轉賬中只是通過查詢相關的deposit或redeem事件這種方式來確定btc的轉賬地址與數量,并沒有進行其他的檢查!使得黑客利用這一漏洞,在BSC上觸發多次redeem事件,竊取大量的BTC。
二、安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
Tags:REDSHAEDEHAREREDPEPE幣MediSharesPEPEDERPDollarBalance Share
Dappradar數據顯示,一個叫做“888innercircle”的項目在本周一曾以超過270萬美元的成交額進入NFT市場前三,截至本文發出,24小時內成交額仍超200萬美元.
1900/1/1 0:00:00原標題:《廣東創新推出“區塊鏈+稅務”應用讓辦稅更加便利》 來源:中新網 編輯:陳文韜 在廣州越秀區較場東路,盧文鋒通過手持終端實時查看臨時泊位的車輛狀態.
1900/1/1 0:00:00據Bitcoin.com消息,9月23日,烏克蘭已經采取措施來監管其不斷擴大的加密空間。本月早些時候,烏克蘭議會通過了一項“關于虛擬資產”的法律,使加密貨幣相關活動合法化,目前正在研究有關加密貨.
1900/1/1 0:00:00美聯儲公布利率決議之際,美國行政管理和預算局稱白宮正在為可能的政府關門做準備,聯邦機構正在審查9月30日資金耗盡的應急計劃.
1900/1/1 0:00:00巴比特訊,Loot社區以88%的支持率投票通過LIP-0提案,支持銷毀Loot合約密鑰。銷毀秘鑰是當前合約所有者的手動操作,并將在社區對所有者包的投票結束后發生.
1900/1/1 0:00:00原標題:《TheHeartProject:為何陳冠希選擇了它》9月23日Clot創始人、知名演員、歌手陳冠希在instagram上發布了最新動態.
1900/1/1 0:00:00