SHA:SharkTeam：BNO攻击事件原理分析_SHAUN币

北京时间2023年7月18日，Ocean BNO遭受闪电贷攻击，攻击者已获利约50万美元。

SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

攻击者地址：

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻击合约：

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

DeFi项目Sheesha Finance与数字身份验证平台Synaps达成战略合作:据官方消息，DeFi项目Sheesha Finance与数字身份验证平台Synaps达成战略合作。

据悉，Synaps帮助其客户和用户实现身份合规性目标。它为企业提供定制的身份验证解决方案，同时允许人们只需点击几下鼠标即可设置和共享其身份。该平台的可信合作伙伴包括Moonbeam、Polygon、Jump Trading、Just Mining、Elrond、Terra。（medium）[2022/3/22 14:11:26]

被攻击合约：

0xdCA503449899d5649D32175a255A8835A03E4006

Scalable Capital与CoinShare达成合作，为客户推出加密ETF等产品:12月18日消息，欧洲财富管理公司 Scalable Capital与数字资产投资公司CoinShare 达成合作，旗下客户现在可以投资加密交易平台交易产品(ETP)和交易平台交易基金(ETF)。Scalable Capital 此前已经推出加密服务Scalable Crypto,主要为客户在监管环境中提供一些最受欢迎的数字资产。CoinShares目前数字资产管理规模超过43亿美元，他们将为Scalable Capital提供BTC、ETH、LTC和XRP投资支持。[2021/12/18 7:47:38]

攻击交易：

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

动态 | ShapeShift推出交易所代币FOX:11月20日，ShapeShift发布了其交易所代币FOX，所有注册平台的用户都将自动获得100个FOX代币，如果持有该代币，则永不过期，并在30天的滚动期内为每个代币提供价值10美元的免费交易量。 此外，FOX还加入了其他交换令牌，例如Binance Coin（BNB）和Bithumb Coin（BN）。虽然ERC-20令牌仍然属于“实用令牌”分类，但它目前的用途还比较有限。（Coindesk）[2019/11/21]

攻击流程：

（1）攻击者（0xa6566574）通过pancakeSwap闪电贷借取286449 枚BNO。

声音 | ShapeShift首席执行官：采用加密货币的最大障碍可能是监管:据LongHash消息，ShapeShift首席执行官Erik Voorhees表示，采用加密货币的最大障碍可能是监管，就像以前一样。所以尽管个人用户对使用加密货币越来越感兴趣，但是大的资金、机构、公司都很犹豫，因为仍然有很多灰色地带，规则仍在改变，尚不清楚。所以我认为这是迄今为止全球最大的障碍。[2019/6/2]

（2）随后调用被攻击合约（0xdCA50344）的stakeNft函数质押两个nft。

（3）接着调用被攻击合约（0xdCA50344）的pledge函数质押277856枚BNO币。

（4）调用被攻击合约（0xdCA50344）的emergencyWithdraw函数提取回全部的BNO

（5）然后调用被攻击合约（0xdCA50344）的unstakeNft函数，取回两个质押的nft并收到额外的BNO代币。

（6）循环上述过程，持续获得额外的BNO代币

（7）最后归还闪电贷后将所有的BNO代币换成50.5W个BUSD后获利离场。

本次攻击的根本原因是：被攻击合约（0xdCA50344）中的奖励计算机制和紧急提取函数的交互逻辑出现问题，导致用户在提取本金后可以得到一笔额外的奖励代币。

合约提供emergencyWithdraw函数用于紧急提取代币，并清除了攻击者的allstake总抵押量和rewardDebt总债务量，但并没有清除攻击者的nftAddtion变量，而nftAddition变量也是通过allstake变量计算得到。

而在unstakeNft函数中仍然会计算出用户当前奖励，而在nftAddition变量没有被归零的情况下，pendingFit函数仍然会返回一个额外的BNO奖励值，导致攻击者获得额外的BNO代币。

针对本次攻击事件，我们在开发过程中应遵循以下注意事项：

（1）在进行奖励计算时，校验用户是否提取本金。

（2）项目上线前，需要向第三方专业的审计团队寻求技术帮助。

金色财经

金色荐读

Block unicorn

区块链骑士

金色财经 善欧巴

Foresight News

深潮TechFlow

标签：SHANFTDCACOINSHAUN币Ftribe Fighters (F2 NFT)SpeedcashRin Finance Coin

欧易okex官网热门资讯