RED:合約漏洞：pNetwork被黑事件分析_EDE

合約漏洞：pNetwork被黑事件分析

北京時間9月20日凌晨，pNetwork跨鏈項目遭到黑客攻擊，黑客利用BSC上pBTC的代碼漏洞，竊取了277枚BTC，損失價值高達1270萬美元。?

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

因涉嫌提交ChatGPT生成的漏洞報告，智能合約漏洞賞金平臺Immunefi封禁15名用戶:1月18日消息，智能合約漏洞賞金平臺 Immunefi 對 15 名用戶實施封禁，這些用戶涉嫌向平臺提交由人工智能工具 ChatGPT 生成的漏洞報告。 Immunefi 在社交媒體發文稱，白帽黑客應該使用自己的語言而不是人工智能語言工具來描述問題，也不能通過這種手段加快軟件 Bug 的處理解決速度。[2023/1/18 11:18:48]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

動態 | 報告：EOS DApp中合約漏洞致損失超11萬EOS:據鏈塔智庫，從已經落地的EOS DApp來看，截止2018年9月25日，EOS平臺共收錄了59個DApp。競猜類DApp的總交易額處于龍頭地位，占93%，無論從數量上還是交易額上都有著明顯的優勢。自今年5月以來，對EOS合約漏洞的攻擊行為頻發，項目方累計損失超過11萬個EOS。[2018/9/29]

以其中一筆交易進行分析：https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整個攻擊寫在攻擊合約的構造函數中，并在攻擊完成后調用selfdestruct()函數銷毀合約，使得無法看到攻擊合約的細節內容。通過交易的事件并結合PToken合約源碼可知，攻擊者首先以amount:0，userData:0x，underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作為輸入數據委托調用redeem函數。

本體官方聲明：本體不受NEP-5智能合約漏洞影響:本體官網發布聲明稱，對于NEP-5智能合約出現的存儲注入漏洞問題，本體團隊第一時間進行了調查分析，得出結論如下：1.ONT持有人的資金和財產是安全的，不會受到攻擊的影響；2. 本體團隊將繼續跟進該漏洞的進展，與相關組織保持緊密溝通和技術配合，以保障ONT持有人的賬戶安全。[2018/5/19]

隨后通過攻擊合約發送多個Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

觸發的redeem事件都是向攻擊者的多個比特幣地址轉賬相同數量1.38個左右的bitcoin，這是跨鏈攻擊中重要的環節。

以其中的一個比特幣地址查詢，可查到相同數量的bitcoin到賬。

通過pToken的介紹可知，跨鏈轉賬中只是通過查詢相關的deposit或redeem事件這種方式來確定btc的轉賬地址與數量，并沒有進行其他的檢查！使得黑客利用這一漏洞，在BSC上觸發多次redeem事件，竊取大量的BTC。

二、安全建議

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。

Tags：EOSREDEDEBTCFarmEOSDeCreditIncooom Genesis PsychedelicBinance Wrapped BTC

幣安app官方下載最新版