合約漏洞:pNetwork被黑事件分析
北京時間9月20日凌晨,pNetwork跨鏈項目遭到黑客攻擊,黑客利用BSC上pBTC的代碼漏洞,竊取了277枚BTC,損失價值高達1270萬美元。?
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
因涉嫌提交ChatGPT生成的漏洞報告,智能合約漏洞賞金平臺Immunefi封禁15名用戶:1月18日消息,智能合約漏洞賞金平臺 Immunefi 對 15 名用戶實施封禁,這些用戶涉嫌向平臺提交由人工智能工具 ChatGPT 生成的漏洞報告。 Immunefi 在社交媒體發文稱,白帽黑客應該使用自己的語言而不是人工智能語言工具來描述問題,也不能通過這種手段加快軟件 Bug 的處理解決速度。[2023/1/18 11:18:48]
一、事件分析
https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934
動態 | 報告:EOS DApp中合約漏洞致損失超11萬EOS:據鏈塔智庫,從已經落地的EOS DApp來看,截止2018年9月25日,EOS平臺共收錄了59個DApp。競猜類DApp的總交易額處于龍頭地位,占93%,無論從數量上還是交易額上都有著明顯的優勢。自今年5月以來,對EOS合約漏洞的攻擊行為頻發,項目方累計損失超過11萬個EOS。[2018/9/29]
以其中一筆交易進行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整個攻擊寫在攻擊合約的構造函數中,并在攻擊完成后調用selfdestruct()函數銷毀合約,使得無法看到攻擊合約的細節內容。通過交易的事件并結合PToken合約源碼可知,攻擊者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作為輸入數據委托調用redeem函數。
本體官方聲明:本體不受NEP-5智能合約漏洞影響:本體官網發布聲明稱,對于NEP-5智能合約出現的存儲注入漏洞問題,本體團隊第一時間進行了調查分析,得出結論如下:1.ONT持有人的資金和財產是安全的,不會受到攻擊的影響;2. 本體團隊將繼續跟進該漏洞的進展,與相關組織保持緊密溝通和技術配合,以保障ONT持有人的賬戶安全。[2018/5/19]
隨后通過攻擊合約發送多個Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。
觸發的redeem事件都是向攻擊者的多個比特幣地址轉賬相同數量1.38個左右的bitcoin,這是跨鏈攻擊中重要的環節。
以其中的一個比特幣地址查詢,可查到相同數量的bitcoin到賬。
通過pToken的介紹可知,跨鏈轉賬中只是通過查詢相關的deposit或redeem事件這種方式來確定btc的轉賬地址與數量,并沒有進行其他的檢查!使得黑客利用這一漏洞,在BSC上觸發多次redeem事件,竊取大量的BTC。
二、安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
Tags:EOSREDEDEBTCFarmEOSDeCreditIncooom Genesis PsychedelicBinance Wrapped BTC
編譯|?胡韜 「我相信DAO站在了協調問題空間的前沿,它們無需許可、任務驅動以及社區運營的架構,代表了未來工作的功能改進。」Gitcoin創始人KevinOwocki表示.
1900/1/1 0:00:00據TheBlock9月9日消息,生成藝術家TylerHobbs的NFT項目Fidenza于6月在NFT平臺ArtBlocks上線.
1900/1/1 0:00:009月7日,薩爾瓦多比特幣法正式生效,成為了世界上第一個采用比特幣作為法定貨幣的國家,就在新法生效的一周后,數千名抗議者走上了街頭.
1900/1/1 0:00:00據《經濟時報》9月22日報道,摩根大通任職時間最長的首席執行官JamieDimon在接受《印度時報》在線采訪時,分享了對全球和印度經濟形勢的評估.
1900/1/1 0:00:00據TimesofIndia9月6日消息,Redfield&WiltonStrategies近期進行的一項研究顯示,大多數歐洲公民不相信歐盟會提出有效的加密貨幣監管提案.
1900/1/1 0:00:00NFT行業也有瓜吃了。 北京時間9月15日,推特用戶Zuwu發推指責OpenSea產品負責人NateChastain?利用“老鼠倉”不當獲利.
1900/1/1 0:00:00