買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 波場 > Info

PAR:Paraluni被攻擊事件分析:一張支票提款兩次的作案-ODAILY_QUO

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

漏洞交易

攻擊者地址:https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f

交易實例:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

CleanSpark哈希率超過3EH/s,公司創下13.25 BTC的日產量高點:金色財經報道,上市比特幣礦企CleanSpark宣布,該公司的算力已正式超過3 EH/s。Cleanspark指出,該公司的算力在不到一年的時間里增長了三倍,目前該公司擁有31000個ASIC采礦設備。Cleanspark的每日產量最高為13.25 個比特幣。

Cleanspark周二發布的最新消息是,該公司透露它以折扣價收購了數千臺ASIC礦機。當時該公司表示,加密冬天提供了“前所未有的機會”,并且在8月的第一周,它宣布收購一個容量高達 86 兆瓦 (MW) 的即插即用挖礦設施。大量其他比特幣挖礦業務也在2022年擴大和增長。

Applied Digital最近透露,在獲得1500 萬美元貸款以繼續擴張后,它在北達科他州獲得了一塊采礦設施的土地。區塊鏈電力解決方案公司Validus Power宣布,該公司正在加拿大建設更多數據中心。[2022/9/1 13:01:21]

合約地址

加密風險投資機構Spartan Group 推出 1 億美元 Web3 風投基金:3月17日消息,加密風險投資機構 The Spartan Group 宣布推出價值 1 億美元的 Web3 基金,前 CoinMarketCap 副總裁Shaun Heng加入Spartan Group并領導該支基金的運作實體Spartan Labs。

Spartan Group 總部位于亞洲,2017年成立,投資組合包括 1inch、Acala、Synthetix 等。2021 年推出 1.1 億美元 DeFi 風投基金,近期宣布推出 2 億美元的 Metaverse/NFT/Gaming 基金。[2022/3/17 14:01:57]

Masterchef合約:https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

Matcha、dYdX、ParaSwap等未發幣DEX24小時用戶數創新高:DeBank數據顯示,去中心化交易所Matcha、dYdX以及ParaSwap的24小時用戶數量創下新高。去中心化交易所Matcha的24小時交易次數達7480次,相比12月24日漲逾300%,24小時用戶數為5558名,相比12月24日增加近390%;去中心化衍生品交易所dYdX的24小時用戶數為628,相比12月24日漲逾400%;去中心化交易聚合平臺ParaSwap的24小時用戶數量為1396,相比12月24日增加逾12倍。[2020/12/26 16:33:02]

攻擊流程

注意,這個攻擊流程是以下面這個交易為基礎的:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

MKM Partners首席市場技術人員:比特幣價格可能會再上漲20%:MKM Partners的首席市場技術人員JC O’hara認為,比特幣價格可能會再上漲20%。他認為,低利率和央行推出的刺激計劃使比特幣成為完美的投資:“標準普爾500指數仍在近期高點下方交易。10年期國債收益率或多或少一直是橫盤整理的。實際上,我正在關注另一種資產類別,我認為它將在當前環境下發揮巨大作用,那就是比特幣。”(Maven Roundtable)[2020/11/9 12:04:27]

準備階段:

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

在UBT代幣合約中,有兩個惡意的函數實現:

1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。

2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。

然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。

1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。

2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。

最后,攻擊者提取了兩次:

1.第一次是通過函數“UBT.withdrawAsset()”。

2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。

合約漏洞分析

在函數`MasterChef.depositByAddLiquidity()`中,作為參數傳入的`_tokens`可以與池中的編號為`_pid`的tokens不匹配。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。

資產去向

截至3月13日,總共有價值約170萬美元的資產被盜。3000個BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。

寫在最后

該次事件可通過安全審計發現相關風險:審計可以發現重入問題和外部依賴問題。

同時,CertiK的安全專家建議:

時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。

關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags:PARQUOSPATERPART價格QuontralSpartanPolkastarter

波場
INT:盤點CEX公鏈,CRO能否成為下一個BNB?-ODAILY_RIN

公鏈發展與存在的問題 截至2021年底,以太坊上的TVL,已從2021年1月的200億美元,迅速增長到高峰值超過1800億美元.

1900/1/1 0:00:00
SPA:DAOrayaki:DAO如何進行良好的治理-ODAILY_ParkByte

DAOrayakiDAO研究獎金池:本文的某些內容涉及潛在的法律風險和策略。作者不是律師,而且這些內容也不構成法律建議。所以在作出任何決定前,請咨詢律師.

1900/1/1 0:00:00
區塊鏈:展望2022:哪些版塊值得我們期待?-ODAILY_DAO

FootprintAnalytics分析師Sabrina數據來源:FootprintAnalytics這篇文章是我們年度回顧系列的一部分。2021年,對整個區塊鏈世界來說,是一個令人興奮的年份.

1900/1/1 0:00:00
ORT:Foresight Ventures市場周報:公鏈TVL出現單周最大跌幅, NFT市場保持火熱-ODAILY_FORT

摘要: 受二級價格影響,公鏈TVL出現單周最大跌幅。NFT市場依舊火熱,明星項目交易量帶動gasfee上漲.

1900/1/1 0:00:00
NFT:NFT掃盲貼:如何通過Discord完成持有者身份認證-ODAILY_Concordium

先說結論:假如你持有一個NFT卻沒有跟其Discord綁定,大概率會錯過一些福利。原因很簡單,Discord在身份認證方面優勢突出,越來越多的NFT項目會通過Discord完成對持有者的身份識別.

1900/1/1 0:00:00
cardano:Cardano先行者主題會議即將開啟,World Mobile等優質項目齊聚一堂-ODAILY_DANDY幣

雖然在早期,Cardano生態因不支持智能合約,使其在DeFi等板塊上的發展,與其他公鏈的差距越來越大,但在2021年下半年,Cardano終于迎來了Alonzo升級.

1900/1/1 0:00:00
ads