北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。
SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。
攻擊者地址:
0xa6566574edc60d7b2adbacedb71d5142cf2677fb
攻擊合約:
0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd
消息人士:美國當局正在調查前FTX工程總監Nishad Singh:金色財經報道,據消息人士稱,美國當局正加大對SBF核心圈子的壓力,他們正在調查前FTX工程總監Nishad Singh。[2023/1/6 10:24:32]
被攻擊合約:
0xdCA503449899d5649D32175a255A8835A03E4006
攻擊交易:
0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9
攻擊流程:
(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。
VRM VP Shawn:創新暗池BlackOcean 為用戶帶來更好的交易體驗:據官方消息,2021年04月23日晚,由Gate.io主辦的直播專訪節目《酒局幣赴》邀請到VRM VP Shawn直播分享近期最新發展。直播期間Shawn與Gate.io立秋就BlackOcean的優勢及其相關事項進行了探討與交流。
Shawn表示,VRM是全球性量化交易平臺,團隊具有很強的技術實力。Black Ocean的交易系統嚴格按照高級交易環境所需的技術要求開發:包括匹配引擎在內的每臺服務器上100%冗余,確保了不停歇的正常運行,同時采用了硬件基礎架構和高端匹配引擎(啟用微秒級延遲和無限API速率限制)。Shawn還指出,安全性方面用戶同樣無需擔心。在2021年1月,VRM和Black Ocean平臺宣布與Matrixport旗下的機構級托管業務Cactus Custody達成戰略托管合作。同時,Cactus Custody已支持托管由VRM官方發行的代幣FLy,所有的客戶資金始終由擔保托管,充分保障用戶資金安全,為用戶帶來更好的交易體驗。[2021/4/23 20:52:37]
聲音 | ShapeShift首席執行官Erik Voorhees:比特幣極端主義存在缺陷 開放的市場導致山寨幣繼續存在:據Bitcoin News消息,ShapeShift首席執行官Erik Voorhees最近在社交媒體上指出了比特幣極端主義心態的內在缺陷,開放的市場導致山寨幣將繼續存在于加密貨幣領域。作為回應,一位評論員提出TCP/IP是開放的市場的壟斷,但Voorhees認為還有許多其他流行的互聯網協議,如VOIP、SMTP和http。[2019/1/30]
(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。
聲音 | CoinShares首席戰略官Meltem Demirors:比特幣的價值遲早會到來:CoinShares首席戰略官Meltem Demirors在接受CNBC采訪時表示,即使投資者受到了驚嚇,但比特幣與早期互聯網股票一樣,真正的價值遲早會到來。[2018/8/14]
(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。
(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO
(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。
(6)循環上述過程,持續獲得額外的BNO代幣
(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。
本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。
合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。
而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。
針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:
(1)在進行獎勵計算時,校驗用戶是否提取本金。
(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。
金色財經
金色薦讀
Block unicorn
區塊鏈騎士
金色財經 善歐巴
Foresight News
深潮TechFlow
編譯:吳說區塊鏈 美國司法部宣布了首個涉及對 DEX 運行的智能合約攻擊的刑事案件。身為一家國際科技公司高級安全工程師的 Shakeeb Ahmed 利用他的專業知識,欺詐了在 Solana 上.
1900/1/1 0:00:00今年的加密市場,遭遇了前所未有的困境。外有全球央行,尤其是美聯儲的加息與縮表(尚未停下步伐),場外流動性減少,增量資金不足;內有美國 SEC 起訴 Binance、Coinbase 等頭部交易平.
1900/1/1 0:00:002023年6月6日,由金色財經舉辦的線上AMA活動——“區塊鏈·世界志”于北京時間晚八點正式拉開序幕.
1900/1/1 0:00:00作者:Intern,TechFlow 7月17日,在巴黎舉行的以太坊社區會議(EthCC)正式開幕,以太坊聯合創始人 Vitalik Buterin 發表公開演講.
1900/1/1 0:00:00編譯:區塊鏈騎士 眾議院金融服務委員會決定將關于穩定幣和Crypto交易立法的投票推遲一周,這引起了軒然大波.
1900/1/1 0:00:00Ordinals 協議帶出的 Bitcoin NFT 熱潮,正在引導 Bitcoin 生態發生新的轉變,越來越多的參與者開始探討 Bitcoin 的可擴展性問題.
1900/1/1 0:00:00