買以太坊 買以太坊
Ctrl+D 買以太坊
ads

加密貨幣:獨家 | Fairyproof Tech:分叉復制PancakeBunny代碼 Dot Finance遭“同源”攻擊_CAKECRYPT

Author:

Time:1900/1/1 0:00:00

本文由“Fairyproof Tech”原創,授權“金色財經”獨家發布。

8月25日,BSC鏈上的收益聚合應用Dot.Finance受到閃電貸攻擊。受本次攻擊事件的影響,項目代幣PINK在短時內發生暴跌,從0.77美元跌至0.5美元。

這次攻擊事件中有兩點值得我們注意:

一是閃電貸再次成為黑客的工具,將攻擊的后果放大。

二是本次攻擊與前陣子PancakeBunny受到的攻擊同源。

關于“閃電貸”,我們已經在往期的文章中多次介紹:它不是攻擊的元兇而只是攻擊利用的手段。本文特別想強調的是第二點,也就是本次攻擊與PancakeBunny的同源性。

我們在本文所說的“同源”通俗的理解就是本項目出現的漏洞與PancakeBunny一樣。為什么會這樣呢?原因就在于Dot Fiance是分叉自PanacakeBunny的代碼,而在分叉復制的過程中,項目方或許是因為疏忽,或許是因為其它原因,并沒有對代碼進行詳細審計,以致PancakeBunny代碼中的漏洞也一并復制過來了,而沒有得到修正。

獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,12月1日,Bakkt比特幣月度期貨合約日交易額為1628萬美元,同比上升3%。[2020/12/2 22:53:06]

由于本次攻擊與PancakeBunny具有同源性,因此我們有必要首先回顧一下PancakeBunny此前受到的攻擊情況,這些攻擊事件具體如下:

2021年5月20日,PancakeBunny第一次遭遇攻擊

2021年5月26日,PancakeBunny第二次遭遇攻擊

2021年7月17日,PancakeBunny在Polygon上的版本遭外部攻擊

本次Dot Finance受到的攻擊則與 PancakeBunny第二次遭受的攻擊是相同的漏洞。具體地說,Dot Finance分叉復制了PancakeBunny的收益聚合部分,但沒有修正其隱藏的漏洞。

獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,10月19日,Bakkt比特幣月度期貨合約日交易額為4869萬美元,同比下降17%,未平倉合約量為1369萬美元,同比上漲8%。[2020/10/20]

Fairyproof Tech對本次事件的詳細分析如下:

在本次攻擊中,

攻擊者的地址為:0xDFD78a977c08221822F6699AD933869Da6d9720C

攻擊合約的地址為:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

被攻擊的合約為“VaultPinkBNB”,其地址為:0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

獨家 | 近30天比特幣搜索指數整體同比上升74%:金色財經報道,百度指數數據顯示,近30天區塊鏈搜索指數整體日均值為3687,整體同比上升19%,移動同比上升20%;近30天比特幣搜索指數整體日均值為23375,整體同比上升74%,移動同比上升91%,近30天以太坊搜索指數整體日均值為3835,整體同比上升17%,移動同比上升25%。[2020/2/23]

具體在合約“VaultPinkBNB”中,出現漏洞的代碼為“getReward()”函數,函數完整代碼如下:

函數中具體出現漏洞的代碼片段為:

獨家 | 香港區塊鏈協會創始人:細則方面同時具備了對虛擬資產交易方面的技術監管、風險控制和傳統金融行業的監管條例:香港區塊鏈協會創始人暨聯合會長、東方億泰資本合伙管理人梁捷揚先生向金色財經表達了其對香港證監會剛剛發布的《有關虛擬資產期貨合約的警告》和《立場書:監管虛擬資產交易平臺》的看法,他表示:細則方面基本上同時具備了對虛擬資產交易方面的技術監管、風險控制和傳統金融行業的監管條例。基本上是按照兩個主線:一方面留出了空間,允許具有證券性質的通證在香港受監管的平臺上進行交易;另一方面,有以相對嚴苛的監管條例限制了產業的進入,并且也進一步更嚴格的規范了業者的服務范圍,僅限于專業投資人士。

相關監管條例毫無疑義是仿照了美國SEC。首先是要求相關交易服務只提供給專業投資人,這一點大幅的限制了證券通證在交易平臺上的發售對象,也會大幅的限制未來相關產品的交易的流動性,這是一個過于保守的這種態度。但是,香港證監會在對未來的展望當中也提到了,如果產業得到發展,并且相關的法律得到修正,他們也會進入。

證監會在自己的立場意見書最后也提到,未來不排除在相關法律得到修改,產業進一步發展之后,也會修改所定下的一些相關的法規。[2019/11/6]

上述代碼片段在計算獎勵時,_minter.performanceFee(cakeBalance)傳入的參數cakeBalance 是CAKE代幣的余額。攻擊者可以在調用getReward前將閃電貸借入的CAKE轉入 VaultPinkBNB合約,導致產生非預期的performanceFee值,而_minter.mintFor()則根據這個非預期的performanceFee值增發超額的PINK獎勵代幣。然后攻擊者將PINK在Pancake上賣出換為BNB和CAKE,一部分償還閃電貸,剩余部分則為本次攻擊的獲利。

金色獨家 俄羅斯意圖用加密貨幣對抗美元霸權:金色財經獨家分析,俄羅斯總統普京6月7日在與俄羅斯公眾的年度現場問答會議上表示,俄羅斯不能有自己的加密貨幣,但必須研??究如何使用加密貨幣。同時,另一條消息宣稱,俄羅斯政府與企業巨頭合資開發區塊鏈及物聯網。從這里可以很清晰的看到俄羅斯對于加密貨幣以及區塊鏈行業的態度。從歷史上看,俄羅斯對于加密貨幣的態度一直有所反復,一開始是出于完全的無監管狀態,特別是由于俄羅斯擁有豐富的電力資源,挖礦一度盛行,然而隨著加密貨幣產業在俄羅斯的發展壯大,監管開始注意到這一產業,之后針對加密貨幣收益等開始制定稅收政策,同時在俄羅斯境內禁止了Telegram,并且嘗試對ICO進行沙盒監管,可以看出俄羅斯當局有意在引導加密貨幣和區塊鏈產業走向更加規范化的道路。從普京的發言中也可以看出,作為一個新興產業,加密貨幣及區塊鏈行業擁有發展潛力,俄羅斯不愿意錯過這趟風口。但同時俄羅斯也對加密貨幣存在擔心,“不能有自己的加密貨幣”是為了規避加密貨幣可能導致的潛在性金融風險,“必須研??究如何使用加密貨幣”使人聯想到之前俄羅斯一銀行通過加密貨幣幫助委內瑞拉石油幣發展,從一定程度上講,加密貨幣能夠繞開以美元為主導的布雷頓森林體系,委內瑞拉的石油幣一方面是應對其國內嚴重的通脹問題,另一方面也是對傳統“美元-石油”掛鉤機制的挑戰。“必須研??究如何使用加密貨幣”就是善于利用加密貨幣維護自身國家權益。另外,俄羅斯對于加密貨幣和區塊鏈抱持不同的監管態度,區塊鏈作為一種新潮技術將被鼓勵開發應用到各行各業之中,然而加密貨幣則要采取更為審慎的態度,避免造成系統性金融風險。[2018/6/13]

這類由項目之間的相互分叉而導致漏洞傳導的事件已經不是第一次發生,我們相信未來這類漏洞還會發生。

單就本次攻擊及漏洞的來源來看,Fairyproof Tech強烈建議,所有分叉自PancakeBunny或與 PancakeBunny同源的項目都應再次審查項目代碼是否存在類似的漏洞,對代碼進行安全審計。

如果從本次漏洞出現的模式看,所有分叉自其它項目的項目都應提高警惕。這類具有同源性質的多個項目,無論其漏洞本身隱藏得多么深,但只要發生一次、被業界公開,其它的同源項目都應該引起警示并馬上著手整改。因為此類漏洞一旦被披露,理論上項目方是有足夠的時間來修正問題的。只要項目方在漏洞發生的第一時間對本項目代碼進行二次審計和測試,本項目受到后續攻擊是完全可以避免的。

因此Fairyproof Tech再次提醒項目方,尤其是分叉自其它項目的項目方,每當同源項目受到攻擊時,應立刻著手對本項目代碼進行再次審計,避免項目重蹈覆轍。

關于Fairyproof Tech:

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者:

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags:ANCCAKE加密貨幣區塊鏈Beta FinanceCAKECRYPT穩定幣和加密貨幣區塊鏈的未來發展前景論文

歐易交易所app官網下載
APP:基于移動鏈CMBaaS的統一認證應用_CMB

前言 本文是“發現100個中國區塊鏈創新應用”系列文章之一。本系列依托中國工程院《中國區塊鏈發展戰略研究》項目,立足區塊鏈創新應用發展戰略,浙江省區塊鏈技術應用協會作為“發現100個區塊鏈創新應.

1900/1/1 0:00:00
ETA:蘋果放寬小型開發商限制:將為 NFT 打開移動端大門_The Doge NFT

上周有消息稱,蘋果有意解決在2019年小型開發商提起的集體訴訟,加密輿論圈并沒有掀起太多聲浪,但那些了解這一重大事件的人意識到,美國科技巨頭正在放松對整個區塊鏈行業各個領域的控制.

1900/1/1 0:00:00
穩定幣:金色早報 | 美聯儲希望在“未來幾周”發布CBDC報告_比特幣是什么意思能換來真錢嗎

頭條 ▌美聯儲理事:美聯儲希望在“未來幾周”發布CBDC報告美聯儲理事鮑曼表示,美聯儲希望在“未來幾周”發布央行數字貨幣報告,隨后會征求利益相關者的意見.

1900/1/1 0:00:00
COIN:晚間必讀5篇 | 贏家通吃?市場投機與公鏈大戰_Pumbo coin

1.區塊鏈之后 上市公司集體再擁“元宇宙”隨著元宇宙的出圈,這把火逐步燒到了A股市場。9月8日,多只元宇宙概念股滿屏漲停,大有當年上市公司集體擁抱“區塊鏈”的勢頭.

1900/1/1 0:00:00
THE:視頻:那些EIP-1559你都知道了的熱知識_YOU

來,同學們,今天我們來上一堂復習課#我們就是要在他盡人皆知后都快被世人遺忘的時候,再發出這期視頻好萊塢經紀公司CAA加入區塊鏈視頻網絡Theta Network:金色財經報道.

1900/1/1 0:00:00
DYDX:dYdX會是DeFi下一輪爆發的引擎嗎?_DEFI

DeFi?已經歷了逾一年的井噴式發展。從穩定幣板塊的 Maker,到借貸板塊的?Compound、Aave,再到?DEX(單指現貨交易)板塊里的?Uniswap,自去中心化金融的概念興起以來,龍.

1900/1/1 0:00:00
ads