買以太坊 買以太坊
Ctrl+D 買以太坊
ads

COL:Paraluni被攻擊事件分析:一張支票提款兩次的作案_TOC

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

RIT Capital Partners已減持Animoca Brands、Kraken和Paxos的股份:金色財經報道,英國投資信托公司RIT Capital Partners Plc今年早些時候降低了對幾家知名加密初創公司的投資價值。該信托基金由雅各布·羅斯柴爾德創立,自 2021 年以來已向加密公司投資數千萬英鎊,此外還支持眾多科技初創公司。其2021 年年度報告顯示,Animoca Brands、Kraken和Paxos的頭寸分別為2780萬英鎊、3320萬英鎊和2080萬英鎊。在2月份公布的次年賬目中,這些頭寸縮減至1420萬英鎊、1620萬英鎊和1620萬英鎊。[2023/6/17 21:43:00]

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

區塊鏈監控平臺PARSIQ推出通用代幣化工具IQ Protocol:9月22日消息,區塊鏈監控和工作流程自動化平臺PARSIQ推出通用代幣化工具IQ Protocol,向面向區塊鏈的業務引入訂閱的概念。通過IQ Protocol,任何企業都可以在訂閱策略中嘗試取消/退款策略、折扣等功能。為了實現這一目標,IQ Protocol實施PowerTokens概念。在B2B系統中,PowerTokens作為使用資源的記賬單位,而不是傳統的代幣化貨幣。因此,無論其對加密貨幣和區塊鏈的立場如何,每個企業都可以輕松地集成IQ Protocol。

IQ Protocol的功能使其客戶能夠從DeFi和NFT市場中受益。PRQ代幣可以通過IQ Protocol鎖定,以允許持有者從中獲得收益。此外,PARSIQ接受PRQ代幣作為支付工具。未來IQ Protocol將能夠建立NFT租賃平臺。與加密借貸生態系統一樣,數字藝術愛好者將從其代幣中受益。(U.Today)[2021/9/22 16:58:53]

在UBT代幣合約中,有兩個惡意的函數實現:

動態 | CryptoCompare:監管更嚴格的司法管轄區的加密交易平臺表現更好:據cointelegraph報道,加密貨幣數據和索引提供商CryptoCompare的新研究評估了加密貨幣交易所的表現。CryptoCompare分析了5月1日至5月30日期間收集的數據,并考慮了一系列關鍵因素。結果顯示,表現最好的加密貨幣交易所位于美國、韓國和日本,而馬耳他的常駐加密貨幣交易所表現不佳。 CryptoCompare在報告中指出,在具有更嚴格監管的司法管轄區的交易平臺往往表現更好。根據上述指標,在十大領先的交易所中,Coinbase排名第一,其次是Poloniex和Bitstamp。幣安的調整后交易量排名第8。該報告進一步指出,只有六個加密交易所獲得了“AA”級別,即Coinbase、Poloniex、Bitstamp、BitFlyer、Liquid和itBit。此外,只有5.6%的總交易量來自許可交易所,7%的交易量來自注冊為貨幣服務業務(MSB)的交易所。[2019/6/15]

????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。

????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。

然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。

???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。

????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。

最后,攻擊者提取了兩次:

???????1.?第一次是通過函數“UBT.withdrawAsset()”。

???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。

BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。

時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。

關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags:TOCPARCOLPROTMidas ProtocolTransparent TokenInterest ProtocolBTU Protocol

以太坊交易所
TOR:首發!中幣交易所上線Torah的主網通證VP_ORA

據官方消息,中幣交易所正式開通Torah主網通證VP的充值。中幣交易所即ZB交易所,是全球領先的數字資產交易平臺,2013年成立至今,為全球超過1000萬用戶提供數字資產交易和各種數字資產衍生品.

1900/1/1 0:00:00
ICA:歐盟加密法規MiCA投票仍包含可能限制PoW的條款_加密貨幣

據CoinDesk3月13日消息,歐盟議會提出的管理加密貨幣立法框架MiCA的最新草案,仍然包含可能限制使用PoW加密貨幣的條款.

1900/1/1 0:00:00
RAY:幣安將上線GMT1-25倍 U本位永續合約_usdn幣今天價格

親愛的用戶:幣安將於2022年03月15日12:00上線GMTUSDT1-25倍U本位永續合約。注意:GMTU本位永續合約是正向合約,即穩定幣合約,採用穩定幣作為保證金.

1900/1/1 0:00:00
以太坊:2022/3/10 早春活動天天交易空投中獎名單_元宇宙概念是什么意思時間空間

尊敬的WEEX用戶您好!早春活動百萬交易員征集令 活動四:天天空投 活動方式: 活動期間每天抽出10位有完成合約交易的用戶隨機送8、18、38、68、88USDT,周一至周五不限幣種.

1900/1/1 0:00:00
USDT:BKEX 關于下架部分幣種交易對的公告_okex官方網頁版

尊敬的用戶:? 本著保護用戶的宗旨,BKEX為保證交易幣種的高標準,將定期對平臺內的代幣進行綜合性審查;如項目方出現對投資者不利因素,我們將采取對應措施,并下架對應項目.

1900/1/1 0:00:00
區塊鏈:盤中寶——加密市場預計表現低迷,解讀加密市場元宇宙基礎項目_元宇宙

核心要點 雖然俄烏局勢依然緊張,但對于大宗商品以及金融市場的影響逐漸減弱;伴隨美國2月份通脹數據如預期走高,美聯儲3月政策調整成為近期影響加密市場的主要因素.

1900/1/1 0:00:00
ads