買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > XLM > Info

TER:Paraluni被攻擊事件分析:一張支票提款兩次的作案_PARA

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

ParaSpace創始人:將建立平臺積分系統,向從事犯罪活動的人出具法律信函:5月11日消息,ParaSpace創始人Yubo發文表示,鑒于透明度,公布其和團隊今天一直在做的幾件事:

1.建立一個積分系統,以激勵新的流動性和彌補當前的借貸成本

2.與大型流動性提供者合作,以降低借款利率

3.向那些從事犯罪活動的人出具法律信函

4.和推特合作恢復被盜賬號

5.今晚舉辦一個新的Space,讓社區保持更新

6.發布新的報告,展示協議的安全性和債務償還歷史

7.和一家新的危機管理機構合作[2023/5/11 14:57:38]

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

Parallel Finance與Phala實現XCM集成:據官方消息,Parallel Finance宣布,通過雙向HRMP通道與Phala Network開啟跨鏈通信。該跨共識消息(XCM)通道將同時在Polkadot上的Parallel和Phala Network之間,以及Kusama上Heiko和Khala Network之間開放。這種雙向通信信道的主要用途是實現本地通信和鏈之間的PARA、HKO、PHA、k-PHA傳輸,而無需跨鏈橋。[2022/9/11 13:22:10]

在UBT代幣合約中,有兩個惡意的函數實現:

Spartan Group聯合創始人:比特幣上漲或將導致DeFi代幣遭遇拋售:Spartan Group聯合創始人兼首席信息官Kelvin Koh表示,不斷上升的比特幣市場可能會給DeFi行業帶來麻煩,并預計DeFi代幣接下來將遭遇拋售。Koh指出,大多數山寨幣在廣泛的炒作下大幅上漲,交易員們拒絕承認在更高的高點購買代幣的風險,這與2017年末臭名昭著的ICO泡沫如出一轍。(Bitcoinist)[2020/7/29]

????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。

????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。

然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。

???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。

????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。

最后,攻擊者提取了兩次:

???????1.?第一次是通過函數“UBT.withdrawAsset()”。

???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。

BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。

時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。

關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags:PARARAPARATERPARASKarate CombatFarming ParadiseTitan Hunters

XLM
DEF:虎符交易所完成2月HOO回購 HOO單月漲幅高達40%_DeFi Coin

最新消息,虎符交易所已于3月7日完成2022年2月HOO的回購計劃,共計回購324,508.27枚HOO.

1900/1/1 0:00:00
API:幣安將上線GMT1-25倍 U本位永續合約_ORD

親愛的用戶:幣安將於2022年03月15日12:00上線GMTUSDT1-25倍U本位永續合約。注意:GMTU本位永續合約是正向合約,即穩定幣合約,採用穩定幣作為保證金.

1900/1/1 0:00:00
TOKEN:走向合法化:拯救 NFT 聲譽的戰斗_FYZNFT

在短短幾年內,NFT已經從不可替代代幣的技術標準發展為230億美元的市場。但隨著對NFT的興趣擴大,該領域的負面頭條新聞也在增加。加密貨幣淘金熱降低了NFT在主流媒體中的聲譽.

1900/1/1 0:00:00
LGO:Algorand區塊鏈今年已新增超過600萬個賬戶_algorand幣種

據Finbold3月10日消息,自2022年初以來,Algorand區塊鏈網絡已經增加超過600萬個新賬戶.

1900/1/1 0:00:00
TMA:注冊有禮 - 3萬美金和NFT等你來拿_BIT

為了慶祝BitMart成立4周年,感謝用戶在過去四年對BitMart一如既往的支持,我們將為2000名新注冊用戶提供總價值$20,000的豐厚獎勵。每個新用戶注冊會收到$10USDT作為獎勵.

1900/1/1 0:00:00
ETH:關於暫停Polygon(MATIC)網絡充值、提現業務的公告_bscgold.finance

親愛的用戶:Polygon網絡因大範圍網絡問題,於2022年03月11日出現網絡中斷的情況。現階段,用戶在幣安通過Polygon網絡的充值、提現業務將暫停,以進行相關網絡維護.

1900/1/1 0:00:00
ads