欧易下载

欧易交易所
欧易交易所APP官网下载

欧易交易所(OKX)是最老牌的比特、莱特、以太交易所,欧易交易平台支持OTC法币交易,支持微信、支付宝和银行卡转账,安全方便快捷,欧易下载官方APP链接。

首发 | 一张支票提款两次的作案手法 你一定不陌生 Paraluni 被攻击事件分析

NEAR 来源: (阅读:0)

北京时间2022年3月13日上午9:04,CertiK安全技术团队监测到Paraluni's MasterChef 合约遭到攻击,大约170万美元的资金通过多笔交易从该项目中被盗。

下文CertiK安全团队将从该项目的操作及合约等方面为大家详细解读并分析。

漏洞交易

攻击者地址: https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f 

交易实例: https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

合约地址

Masterchef合约: https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

攻击流程

基于华为云的P2E链游Revoland将推出Staking功能:8月20日消息,据外媒报道,基于华为云的P2E链游Revoland宣布将推出Staking质押功能,旨在吸引更多有机用户加入RevoLand生态,从而提高项目的可持续性。

此外,加密用户可以通过参与Staking质押来管理RevoLand项目,Staking系统将从REVO的单一Token质押开始,然后是REVOLP的Token质押。此前报道,Revoland于今年六月完成1060万美元种子轮和预售轮融资,天鸽互动等参投。(Globenewswire)[2022/8/21 12:37:55]

注意,这个攻击流程是以下面这个交易为基础的:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

准备阶段:

攻击者部署了两个恶意的代币合约UGT和UBT。

在UBT代币合约中,有两个恶意的函数实现:

1. 在 "transferFrom() "函数中,攻击者实现了对MasterChef的 "deposit() "函数的调用,以存入LP代币。

BTC突破18800美元关口 日内涨幅为0.77%:火币全球站数据显示,BTC短线上涨,突破18800美元关口,现报18800.24美元,日内涨幅达到0.77%,行情波动较大,请做好风险控制。[2020/11/21 21:32:58]

2. 一个 "withdrawAsset() "函数,将调用Masterchef的 "withdraw() "来提取存入的LP代币。

攻击阶段:

攻击者利用闪电贷获得了156,984 BSC-USD和157,210 BUSD。

攻击者向ParaPair发送通过闪电贷获得的BSC-USD和BUSD代币,并收到155,935枚LP代币作为回报。

然后,攻击者调用 "depositByAddLiquidity() "函数,将LP代币存入资金池。

1. 在调用此函数时:输入参数“_pid ”为18,“_tokens ”为[UGT,UBT]。

2. 因为 depositByAddLiquidity() 会调用 “UBT.transferFrom()” 函数, 因此MasterChef.deposit() 函数会被触发并且向合约存入 155,935 LP 代币。

3. 因此, 155,935 LP 代币被存入了两次并且攻击者获得了两份“userInfo” 的记录 (一次是从 UBT, 另一次是从攻击者的合约)。

最后,攻击者提取了两次:

1. 第一次是通过函数“UBT.withdrawAsset()”。

2. 另一个是来自攻击者对 “Masterchef.withdraw() ”函数的调用。最后,攻击者删除了流动资金并返还了闪电贷。

合约漏洞分析

在函数`MasterChef.depositByAddLiquidity()`中,作为参数传入的`_tokens`可以与池中的编号为`_pid`的tokens不匹配。

`depositByAddLiquidity()`函数通过调用`addLiquidityInternal()`函数,触发了传入恶意代币(UBT)的“transferFrom”函数,进而导致了重入的问题。因此,同一份LP代币被存入两次。

资产去向

截至3月13日,总共有价值约170万美元的资产被盗。3000个BNB仍然在攻击者在BSC的地址中,235个ETHs则通过Birdge转移到以太坊,并通过Tornado进行洗白。

写在最后

该次事件可通过安全审计发现相关风险:审计可以发现重入问题和外部依赖问题。

同时,CertiK的安全专家建议:

时刻关注函数的外部输入,尽量避免传入合约地址作为参数。

关注外部调用,为所有可能出现重入危险的外部调用函数加上“nonReentrant”修饰函数。

本次事件的预警已于第一时间在CertiK项目预警推特

除此之外,CertiK官网已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及Rug Pull相关的各种社群预警信息。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

标签:

欧易交易所

USDT浅聊DAO图景和未来

DAO (Decentralized Autonomous Organizations),去中心化自治组织,是基于区块链技术,由社区通过透明的决策过程运行和管理的组织形态。 DAO使得社区成为价值的创造者,也成为价值的分享者。 去中心化和基于智能合约的区块链是DAO的两大重要特征。

XLMNFTs 2.0:在Polkadot和Kusama上的NFT

本文是对 NFT 的总体概述,和波卡中的各种 NFT 方式。 同质化 NFT 的意思是非同质化通证。同质化意味着一组东西的内部元素可互换。理论上,一张 20 美元的钞票在商店里总是值 20 美元,而且和其他任何一张 20 美元的钞票价值相同。但是,它不能和 1 美元或 100 美元的钞票互换。

比特币价格一文详解以太坊伦敦升级后Gas费的数据变化

随着 DeFi 的升温,NFT 和 GameFi 也大火,以太坊上的 Gas 费水涨船高,其他公链针对其痛点争相上线。 以太坊目前的市场份额已掉至 60% 以下,但不得不承认很多优秀的项目上线的第一优选仍在以太坊,Gas 费的价格对每个用户来说都息息相关。 在 8 月份的伦敦升级改变了 Gas 费的收费结构,各方讨论不断。

欧易okex官网欧盟将发起投票:是否限制基于工作证明(POW)的加密货币

本文由“老雅痞laoyapicom”授权转发 一项旨在迫使比特币等工作证明型加密货币转向更环保的权益证明型共识机制(POS)的条款被列入周一议会投票的MiCA草案。 欧盟(EU)提议的管理虚拟货币的立法框架的最新草案,即加密资产市场(MiCA),包含一个可能限制使用工作证明加密货币的条款。

[0:0ms0-0:953ms