2022年3月13日,成都链安链必应-区块链安全态势感知平台舆情监测显示,Paraluni合约遭受攻击,损失约170万美元,成都链安技术团队对此事件进行了相关分析。
#1总述
我们以第一笔攻击交易0xd0b4a1d4964cec578516bd3a2fcb6d46cadefe1fea5a2f18eec4c0a496e696f9为例:
地址列表
攻击地址:
0x94bC1d555E63eEA23fE7FDbf937ef3f9aC5fcF8F
攻击合约:
0x4770b5cb9d51EcB7AD5B14f0d4F2cEe8e5563645
ParaProxy:
Amber Group:Mai Finance金库曾存在严重重入漏洞,项目方已部署新预言机合约:金色财经报道,Amber Group发文称,其区块链安全团队于10月18日在零利率贷款协议Mai Finance的两个金库(SCSEMVT和YCSEMVT)中发现一个严重重入漏洞。该漏洞将允许攻击者操纵抵押品价格,从池中借入所有资金并提走资金。
Amber Group在10月19日联系QiDao团队后,QiDao在10月20日提出解决方案并部署一个新的预言机合约。[2022/12/21 21:57:13]
0x633Fa755a83B015cCcDc451F82C57EA0Bd32b4B4
ParaImpl:
0xA386F30853A7EB7E6A25eC8389337a5C6973421D(MasterChef)
Bittrex Global CFO/COO Stephen:在加密货币世界,代币持有人可以和项目方进行更多互动:10月27日至28日,火币“无限未来——2020年区块链大航海时代”行业峰会暨火币集团七周年线上峰会正式举行。
在峰会“如何判定项目价值,市场价值和应对市场风险”圆桌讨论中,Bittrex Global CFO/COO Stephen Stonberg分享观点:加密货币领域有一个独特的创新之处,就是项目的用户通常是代币的持有人,代币持有人可以和项目方进行很多互动。但是,对比传统互联网,像Facebook、Twitter、Google等这些通过股市风投和大股东等传统渠道获得融资的尔科技巨头,这类传统大互联网企业经常被曝出监控和盗取用户数据的丑闻,作为普通用户的我们是无法约束这些大公司的行为的,因为他们对企业没有实际控制权,也就无需对这些普通用户负责。但是在去中心化领域,上述问题就会少得多。[2020/10/28]
UGT:
动态 | 者伪装成项目方让Newdex上假币 交易所承认审核不严:据区块律动BlockBeats消息,最近一名俄罗斯者设法让知名EOS去中心化交易所Newdex上架了一个虚假代币PKD,并成功欺诈了少部分用户买了该虚假代币。该虚假代币展示内容显示由Poker Chained游戏开发团队发行的,然后进行了典型拉高出货。 但是PokerChained团队并没有发过自己的代币,目前也没有发币计划。PokerChained项目负责人Kirill Lebedev声明称,“ PokerChained团队很快了解到了这个虚假代币,声称与他们无关,提醒用户请不要购买此代币,这是100%的局。” PokerChained团队联系Newdex交易所,成功阻止了PKD交易,并将这虚假代币下架。然而已经有几个用户买了该代币,成为者的牺牲品。Newdex承认他们在没有进行深入研究的情况下就把虚假代币上架了,并同意赔偿用户的损失。[2019/4/18]
0xbc5db89CE5AB8035A71c6Cd1cd0F0721aD28B508
区块链行业资深观察家肖磊:各项目方集中套现导致市场走熊:金色财经独家,区块链行业资深观察家肖磊近日在接受金色财经采访时就比特币行情发表观点称,监管一直存在,目前主要还是市场自身的原因,此前过于火热,导致市场被透支,尤其是比特币期货在美国上市后,华尔街开始介入割全球韭菜,很多圈内资深投资者和机构也没有来得及获利了结,深度被套。一方面华尔街抽走了数百亿美金的盈利,市场窟窿难以弥补,另一方面新进资金缺乏,各项目方集中套现都成了市场走熊的原因。之后走势会分化,一些币会持续熊下去,直到团队解散,价格归零,因为本来就是空气币,但还有一些,会有很好的走势,可能会在未来一年创出新高。因此就算市场回暖,也很难再现半年前那种疯狂走势。[2018/3/17]
UBT
0xcA2ca459Ec6E4F58AD88AEb7285D2e41747b9134
1.向CakeSwap(0x7EFaEf62)中通过闪电贷借贷224BSC-USD,224BUSD
2.把第1步借到的代币向Para-LP(0x3fD4FbD7)中添加流动性,并将获得的222枚流动性代币的接收地址指定为UBT(0xcA2ca459)地址,这一步是为了后续的重入做准备。
图1初始准备
3.攻击合约(0x4770b5cb)调用ParaProxy合约的depositByAddLiquidity函数,添加流动性代币抵押挖矿,此处传入的pid为18,对应的Para-LP(BSC-USD/BUSD)0x3fD4FbD7a83062942b6589A2E9e2436dd8e134D4,但是token0,token1传入的地址为UGT、UBT的地址,数量为1e18。
图2重入攻击
4.此处原本正常的逻辑为:添加流动性,并将流动性代币存入pid为18的流动性抵押池,但是本函数在代码中并未检查添加的流动性token0、token1得到的流动性代币是否与pid对应的流动性代币地址一致,导致了攻击的发生。注意,并不是所有的流动性池抵押都有该风险,由于第2524行代码,pool的ticket需要为零地址才能够通过该检查。
但是攻击者通过控制执行逻辑,实际执行的逻辑为:第2505,2506行将攻击者指定的1枚UGT、1枚UBT代币转入ParaProxy合约。然后在第2535行代码用于添加流动性,并在第2537行检查添加的流动性代币数量。
此时,vars.oldBalance为初始流动性代币数量。攻击者为了通过第2537行的检查,在添加流动性的过程中,进行了重入攻击。由于在添加流动性时调用了攻击者构造的恶意代币的transferFrom函数,攻击者在transferFrom函数中才将流动性通过deposit函数存入ParaProxy合约。这也是第2步时攻击合约将流动性代币接收地址指定为UBT合约的原因所在。
在重入过程中,UBT合约存入了真正的LP代币222枚,并计入ParaProxy的账本中。在重入完成后,ParaProxy合约地址新增了222枚LP代币,ParaProxy合约将其视为攻击合约添加的LP,并计入账本中。至此,UBT合约和攻击合约都新增了222枚LP的存取记录。
图3ParaImpl合约相关代码
重入相关过程如下图所示:
图4攻击流程示意图
5.UBT合约和攻击合约分别调用withdraw函数,从ParaProxy合约提取221枚LP,并归集到攻击合约,由攻击合约将LP移除流动性并获取对应的BSC-USD以及BUSD。
6.归还闪电贷225枚BSC-USD,225枚BUSD,并将获利的221枚BSC-USD、225枚BUSD发送到攻击者地址。整个攻击交易执行完成。
#2总结建议
攻击者一共执行了约40次攻击,共获利约170万美元。截止发稿时,攻击者通过跨链协议将其转到以太坊网络中,并将其中的660枚ETH转入Tornado.Cash,另外5枚ETH转入了0xDd52CE617cAF1b7C8cEaCC111DE2f1c54E20C1b0地址。
本次攻击主要由合约代码中存在逻辑缺陷以及存在资金操作的关键函数未进行防重入导致。建议合约开发者在开发过程中进行完整的测试以及第三方审计,并养成使用Openzeppelin库的ReentrancyGuard合约来进行重入攻击的防范。
后知后觉金钱消失术在加密世界中,私钥管理和保持私钥安全性,一直是个重要的话题。近日,当下最流行的NFT游戏AxieInfinity侧链RoninNetwork受到黑客攻击,造成价值约6.1亿美金.
1900/1/1 0:00:002019年,扎克伯格旗下的Facebook发布Libra白皮书,试图创造一个符合互联网时代特点的超越主权范围的加密币,但仅仅运行数月,Libra协会就突然瓦解.
1900/1/1 0:00:00加密资产是证券吗?对于这个核心问题的答案将对加密行业产生许多影响,从监管和合规到内幕交易执法等方面.
1900/1/1 0:00:00如何建立一个持久和参与的社区Go-to和Exit-to社区都符合Web3社区的核心理念和所有权信条:创造一种参与性和价值贡献的文化,在利益相关者之间有一致的激励措施.
1900/1/1 0:00:00TRONDAO携手BitTorrentChain共同举办的2022波场黑客松大赛第二季强势回归,报名通道于5月16日开启.
1900/1/1 0:00:00随着区块链技术的持续提升,其应用场景也在不断丰富。其中DeFi生态的迅猛发展,吸引了更多的人和机构入场.
1900/1/1 0:00:00