買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 萊特幣 > Info

ITH:首發 | 一張支票提款兩次的作案手法 你一定不陌生 Paraluni 被攻擊事件分析_Project WITH

Author:

Time:1900/1/1 0:00:00

北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

漏洞交易

攻擊者地址:?https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f?

交易實例:?https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露,Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務,每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉,目前僅支持BTC和ETH資產轉賬。[2020/2/26]

攻擊流程

注意,這個攻擊流程是以下面這個交易為基礎的:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

準備階段:

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]

在UBT代幣合約中,有兩個惡意的函數實現:

1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。

2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。

然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。

1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。

2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。

最后,攻擊者提取了兩次:

1.?第一次是通過函數“UBT.withdrawAsset()”。

2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。

合約漏洞分析

在函數`MasterChef.depositByAddLiquidity()`中,作為參數傳入的`_tokens`可以與池中的編號為`_pid`的tokens不匹配。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。

資產去向

截至3月13日,總共有價值約170萬美元的資產被盜。3000個BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。

寫在最后

該次事件可通過安全審計發現相關風險:審計可以發現重入問題和外部依賴問題。

同時,CertiK的安全專家建議:

時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。

關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特

除此之外,CertiK官網已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags:ITHTERKENRCHProject WITHENTERMETA價格CRYPTOSS Tokenrch幣價格

萊特幣
ART:NFT熱潮席卷T臺 設計師入駐元宇宙推時裝秀_元宇宙最新騙局

今年,主流設計師紛紛入駐元宇宙,推出他們的首個NFT系列,描繪出來時尚界未來的新趨勢。元宇宙的崛起導致了一種全新的數字經濟,一種由虛擬體驗和互動定義的經濟.

1900/1/1 0:00:00
CRY:“即玩即賺”“從玩到賺”類游戲所面臨的問題及方案_Crystal Token

原文:TheFundamentalProblemsWithPlay-to-EarnGames,AndHowToSolveThem先說我這篇博客的結論:如果你計劃推出了一個擁有代幣的游戲.

1900/1/1 0:00:00
LAR:反噬“老大哥”:NFT第一家巨頭浮現及未來會發生什么_CARVE幣

凌晨還在睡夢中,恍恍惚惚不斷被Opensea的報價機器人震醒,起床一看,NFT領域發生了一件大事。雖然之前有傳言,但真正看到新聞時,還是一愣.

1900/1/1 0:00:00
TOKEN:APY 成癮:AC 留下的 DeFi 殘局_DEF

上周末,DeFi領域的靈魂人物AndreCronje清倉了自己在Fantom生態的所有資產,并宣布離開DeFi和加密領域.

1900/1/1 0:00:00
比特幣:俄烏輿論戰中 Web3能否顛覆話語權?_區塊鏈

俄烏間的沖突不止發生在戰場,也發生在一個個輿論場之中。戰爭伊始,多個西方官員敦促各大社交媒體平臺封鎖“俄羅斯國有媒體”和宣傳;同時這些平臺也承受著俄羅斯方面的壓力.

1900/1/1 0:00:00
DEF:元宇宙合規報告(十七):虛擬資產犯罪之DeFi洗錢_DEFI

在上周的公號文章中,颯姐團隊為大家詳細介紹了虛擬資產領域,關于NFT洗錢犯罪的最新動向。通過一系列的數據我們可以發現,在虛擬貨幣反洗錢工作在全球范圍內取得卓越進展的2022年,單純利用比特幣、U.

1900/1/1 0:00:00
ads