PAR:Paraluni被攻擊事件分析：一張支票提款兩次的作案-ODAILY_QUO

北京時間2022年3月13日上午9:04，CertiK安全技術團隊監測到Paraluni'sMasterChef合約遭到攻擊，大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

漏洞交易

攻擊者地址:https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f

交易實例:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

CleanSpark哈希率超過3EH/s，公司創下13.25 BTC的日產量高點:金色財經報道，上市比特幣礦企CleanSpark宣布，該公司的算力已正式超過3 EH/s。Cleanspark指出，該公司的算力在不到一年的時間里增長了三倍，目前該公司擁有31000個ASIC采礦設備。Cleanspark的每日產量最高為13.25 個比特幣。

Cleanspark周二發布的最新消息是，該公司透露它以折扣價收購了數千臺ASIC礦機。當時該公司表示，加密冬天提供了“前所未有的機會”，并且在8月的第一周，它宣布收購一個容量高達 86 兆瓦 (MW) 的即插即用挖礦設施。大量其他比特幣挖礦業務也在2022年擴大和增長。

Applied Digital最近透露，在獲得1500 萬美元貸款以繼續擴張后，它在北達科他州獲得了一塊采礦設施的土地。區塊鏈電力解決方案公司Validus Power宣布，該公司正在加拿大建設更多數據中心。[2022/9/1 13:01:21]

合約地址

加密風險投資機構Spartan Group 推出 1 億美元 Web3 風投基金:3月17日消息，加密風險投資機構 The Spartan Group 宣布推出價值 1 億美元的 Web3 基金，前 CoinMarketCap 副總裁Shaun Heng加入Spartan Group并領導該支基金的運作實體Spartan Labs。

Spartan Group 總部位于亞洲，2017年成立，投資組合包括 1inch、Acala、Synthetix 等。2021 年推出 1.1 億美元 DeFi 風投基金，近期宣布推出 2 億美元的 Metaverse/NFT/Gaming 基金。[2022/3/17 14:01:57]

Masterchef合約:https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

Matcha、dYdX、ParaSwap等未發幣DEX24小時用戶數創新高:DeBank數據顯示，去中心化交易所Matcha、dYdX以及ParaSwap的24小時用戶數量創下新高。去中心化交易所Matcha的24小時交易次數達7480次，相比12月24日漲逾300%，24小時用戶數為5558名，相比12月24日增加近390%；去中心化衍生品交易所dYdX的24小時用戶數為628，相比12月24日漲逾400%；去中心化交易聚合平臺ParaSwap的24小時用戶數量為1396，相比12月24日增加逾12倍。[2020/12/26 16:33:02]

攻擊流程

注意，這個攻擊流程是以下面這個交易為基礎的：https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

MKM Partners首席市場技術人員：比特幣價格可能會再上漲20%:MKM Partners的首席市場技術人員JC O’hara認為，比特幣價格可能會再上漲20%。他認為，低利率和央行推出的刺激計劃使比特幣成為完美的投資：“標準普爾500指數仍在近期高點下方交易。10年期國債收益率或多或少一直是橫盤整理的。實際上，我正在關注另一種資產類別，我認為它將在當前環境下發揮巨大作用，那就是比特幣。”（Maven Roundtable）[2020/11/9 12:04:27]

準備階段:

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

在UBT代幣合約中，有兩個惡意的函數實現：

1.在"transferFrom()"函數中，攻擊者實現了對MasterChef的"deposit()"函數的調用，以存入LP代幣。

2.一個"withdrawAsset()"函數，將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣，并收到155,935枚LP代幣作為回報。

然后，攻擊者調用"depositByAddLiquidity()"函數，將LP代幣存入資金池。

1.在調用此函數時：輸入參數“_pid”為18，“_tokens”為。

2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約）。

最后，攻擊者提取了兩次:

1.第一次是通過函數“UBT.withdrawAsset()”。

2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后，攻擊者刪除了流動資金并返還了閃電貸。

合約漏洞分析

在函數`MasterChef.depositByAddLiquidity()`中，作為參數傳入的`_tokens`可以與池中的編號為`_pid`的tokens不匹配。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數，觸發了傳入惡意代幣的“transferFrom”函數，進而導致了重入的問題。因此，同一份LP代幣被存入兩次。

資產去向

截至3月13日，總共有價值約170萬美元的資產被盜。3000個BNB仍然在攻擊者在BSC的地址中，235個ETHs則通過Birdge轉移到以太坊，并通過Tornado進行洗白。

寫在最后

該次事件可通過安全審計發現相關風險：審計可以發現重入問題和外部依賴問題。

同時，CertiK的安全專家建議：

時刻關注函數的外部輸入，盡量避免傳入合約地址作為參數。

關注外部調用，為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags：PARQUOSPATERPART價格QuontralSpartanPolkastarter

波場