月亮链 月亮链
Ctrl+D收藏月亮链

ANC:独家 | Fairyproof Tech:分叉复制PancakeBunny代码 Dot Finance遭“同源”攻击_bunny币最新价格

作者:

时间:1900/1/1 0:00:00

本文由“Fairyproof Tech”原创,授权“金色财经”独家发布。

8月25日,BSC链上的收益聚合应用Dot.Finance受到闪电贷攻击。受本次攻击事件的影响,项目代币PINK在短时内发生暴跌,从0.77美元跌至0.5美元。

这次攻击事件中有两点值得我们注意:

一是闪电贷再次成为黑客的工具,将攻击的后果放大。

二是本次攻击与前阵子PancakeBunny受到的攻击同源。

关于“闪电贷”,我们已经在往期的文章中多次介绍:它不是攻击的元凶而只是攻击利用的手段。本文特别想强调的是第二点,也就是本次攻击与PancakeBunny的同源性。

我们在本文所说的“同源”通俗的理解就是本项目出现的漏洞与PancakeBunny一样。为什么会这样呢?原因就在于Dot Fiance是分叉自PanacakeBunny的代码,而在分叉复制的过程中,项目方或许是因为疏忽,或许是因为其它原因,并没有对代码进行详细审计,以致PancakeBunny代码中的漏洞也一并复制过来了,而没有得到修正。

独家 | BTC全网合约账户占比最新统计:空头占优:金色财经报道,据AIcoin全网合约账户占比统计显示,截至2月11日16时,目前行情空头占优,其中多头占比为48.80%,空头占比为51.20%。 主流合约交易所中,Huobi的多头占比为48.65%,空头占比为51.35%;OKEx的多头占比为51.38%,空头占比为48.62%;BitMex的多头占比为46.65%,空头占比为53.35%。[2020/2/11]

由于本次攻击与PancakeBunny具有同源性,因此我们有必要首先回顾一下PancakeBunny此前受到的攻击情况,这些攻击事件具体如下:

2021年5月20日,PancakeBunny第一次遭遇攻击

2021年5月26日,PancakeBunny第二次遭遇攻击

独家 | 点付大头:BSV设想过于激进 理性上站不住脚:针对BCH硬分叉一事,金色财经独家采访到点付大头,他指出BSV想把区块上限提高到128M的做法,存在两点问题:一是目前BCH的区块常规实际容量只有30-200KB左右,远远还未到达32M的当前上限。这未免也太超前了一点,完全可以到BCH用户生态进一步繁荣、网络吞吐量增大以后再做。第二是比特币作为去中心化的协议,去中心化程度是一个比较重要的指标,而过大的区块是会影响一个去中心化网络运行的,之前就有实验表明,超过20M的区块就可能给网络同步带来相当大的压力,未来BCH如果真的用到了很大的区块,那么去中心化未必是能够得到充分保证的就是要做最初比特币应该做到的样子。BSV想走大区块、简功能的路线,这是比较被动的。该方案在理性上有一点站不住脚;但是这个真的不重要,因为眼下不是比哪个方案本身更合理,而是路线选择上社区存在的巨大分歧的表现。[2018/11/15]

2021年7月17日,PancakeBunny在Polygon上的版本遭外部攻击

独家 | 印尼交易所FUTURAX用户交易存在token“耗损”风险:第三方大数据评级机构RatingToken最新数据显示,2018年8月12日全球共新增1418个合约地址,其中335个为代币型智能合约。RatingToken安全审计团队发现,近日上线的印尼加密货币交易平台FUTURAX(FTXT),该合约代码中存在除法类型强制转换,在使用ETH购买Token的过程中,会将购买数量强制转换为整数,该问题将导致部分ETH交易Token用户产生损失。

此外,昨日新增合约风险榜TOP10的包括Vote Bhelp(Bhelp)、SuperCard(SPC)、FoMo3D Long Official(F3D)、OK3D(OK3D)、Airpay Tier 3、Tokensale、Q3 Token(Q3)、3)、Seacharters.com Da Dan和Rich peasant chain(RPC)。如需查看更多智能合约检测结果,请查看原文链接。[2018/8/14]

本次Dot Finance受到的攻击则与 PancakeBunny第二次遭受的攻击是相同的漏洞。具体地说,Dot Finance分叉复制了PancakeBunny的收益聚合部分,但没有修正其隐藏的漏洞。

金色独家 比特币中国联合创始人戴庆祝:中心化交易所不够安全 但比特币足够安全:金色财经独家专访,目前交易所的安全问题频发,对此比特币中国联合创始人戴庆祝认为,对中心化交易所来说,安全性问题始终是悬在头上的一把利剑。历史上,相当一部分的交易所倒闭都是由于安全问题。

中心化交易所无法彻底杜绝安全问题,换句话说,中心化交易所是不够安全的,但是比特币本身是足够安全的。

在没有监管的情况下,投资者应当尽量把币存在钱包中。去中介化的商业,是区块链行业的愿景,也一直是区块链行业从业者的梦想。然而,在实现去中介化的漫长道路上,我们依然要经历行业生态中的中心化之痛,所有的美好和光鲜,都源自丑陋和不堪,这是成长的代价,不过终将会改变,也正在改变。[2018/6/18]

Fairyproof Tech对本次事件的详细分析如下:

金色独家 Rate3团队的创始人:全球跨境支付金融系统中存在三个痛点:Rate3团队的创始人兼CEO Jake Goh在接受金色财经独家专访时表示,长期缺乏创新的全球跨境支付金融系统中发现三个必要攻破的痛点:首先,在跨境电商平台购物时,交易支付会产生高昂的手续费,这个手续费不单单针对消费者,商家在接收跨境付款时,也需要支付一定的费用。

第二是交易环节中的造假问题,交易记录和卖家反馈容易造假。商家和消费者都没有可靠记录,这使得索赔和纠纷通常很难解决;

第三是现在的电商平台提供的信贷服务购物导致服务群体受限。[2018/6/14]

在本次攻击中,

攻击者的地址为:0xDFD78a977c08221822F6699AD933869Da6d9720C

攻击合约的地址为:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

被攻击的合约为“VaultPinkBNB”,其地址为:0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

具体在合约“VaultPinkBNB”中,出现漏洞的代码为“getReward()”函数,函数完整代码如下:

函数中具体出现漏洞的代码片段为:

上述代码片段在计算奖励时,_minter.performanceFee(cakeBalance)传入的参数cakeBalance 是CAKE代币的余额。攻击者可以在调用getReward前将闪电贷借入的CAKE转入 VaultPinkBNB合约,导致产生非预期的performanceFee值,而_minter.mintFor()则根据这个非预期的performanceFee值增发超额的PINK奖励代币。然后攻击者将PINK在Pancake上卖出换为BNB和CAKE,一部分偿还闪电贷,剩余部分则为本次攻击的获利。

这类由项目之间的相互分叉而导致漏洞传导的事件已经不是第一次发生,我们相信未来这类漏洞还会发生。

单就本次攻击及漏洞的来源来看,Fairyproof Tech强烈建议,所有分叉自PancakeBunny或与 PancakeBunny同源的项目都应再次审查项目代码是否存在类似的漏洞,对代码进行安全审计。

如果从本次漏洞出现的模式看,所有分叉自其它项目的项目都应提高警惕。这类具有同源性质的多个项目,无论其漏洞本身隐藏得多么深,但只要发生一次、被业界公开,其它的同源项目都应该引起警示并马上着手整改。因为此类漏洞一旦被披露,理论上项目方是有足够的时间来修正问题的。只要项目方在漏洞发生的第一时间对本项目代码进行二次审计和测试,本项目受到后续攻击是完全可以避免的。

因此Fairyproof Tech再次提醒项目方,尤其是分叉自其它项目的项目方,每当同源项目受到攻击时,应立刻着手对本项目代码进行再次审计,避免项目重蹈覆辙。

关于Fairyproof Tech:

Fairyproof Tech科技有限公司是一家专注区块链生态安全的公司。Fairyproof Tech科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目, 并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

作者:

Fairyproof TechCEO 谭粤飞

美国弗吉尼亚理工大学(Virginia Tech, Blacksburg, VA, USA) 工业工程(Industrial Engineering) 硕士(Master)。曾任美国硅谷半导体公司 AIBT Inc(San Jose, CA, USA) 软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事 。个人拥有4项区块链相关专利、3本出版著作。

标签:ANCCAKEPANUNNPancakeSwapKCAKE价格Panda Girlbunny币最新价格

莱特币价格热门资讯
元宇宙:直通元宇宙的掘金者:NFT链游底层设施MPC公链_ETHCOIN

起于2020年末的数字货币大牛市,带动了区块链技术应用场景的落地。DeFi首先进入公众视野,并缕缕刷新赛道的市值总量。眼下,NFT开始接棒DeFi,成为加密世界的风口.

1900/1/1 0:00:00
NFT:金色DeFi日报 | O3Swap已恢复Polygon跨链转移功能_DEF

DeFi数据1.DeFi总市值:1294.26亿美元 DeFi总市值数据来源:Coingecko2.过去24小时去中心化交易所的交易量:47.

1900/1/1 0:00:00
AMA:详解Kusama第二轮插槽拍卖的机遇与策略 哪些团队值得重点关注?_Kusa Inu

距离上一次Kusama插槽拍卖结束已经过去了一个月整,而出人意料的是在上一轮Kusama插槽拍卖中超过10%的KSM直接被锁定,最终有111.46万个KSM(以链上数据统计)通过插槽拍卖被锁住.

1900/1/1 0:00:00
MEV:如何优雅地面对以太坊MEV?_ETH以太坊今日行情

最近这段时间以来,ATA和EDEN的爆拉,关于以太坊的MEV(Miner Extractable Value)话题也继续走红,如何解决这个问题在社区中出现了巨大的争议.

1900/1/1 0:00:00
区块链:金色早报 | 库里推特头像换成18万美元买的BAYC猿猴_加密货币

头条▌库里推特头像换成18万美元买BAYC猿猴8月29日消息,NBA球星库里最近的推特头像换成了一个猴子的形象,据theblockcrypto网站报道,库里是用55个ETH.

1900/1/1 0:00:00
ART:金色观察 | Art Blocks交易激增 为什么这些NFT在以太坊中突然卖出数百万美元?_SLOCK币

过去一段时间,市场围绕CryptoPunks产生了大量的讨论。但随着NFT热潮涌动,另一个NFT系列Art Blocks交易也出现了大幅增长.

1900/1/1 0:00:00