北京时间2022年3月13日上午9:04,CertiK安全技术团队监测到Paraluni's MasterChef 合约遭到攻击,大约170万美元的资金通过多笔交易从该项目中被盗。
下文CertiK安全团队将从该项目的操作及合约等方面为大家详细解读并分析。
漏洞交易
攻击者地址: https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f
交易实例: https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54
合约地址
Masterchef合约: https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code
德意志银行:多数受访者预计12个月后BTC将跌至2万至4万美元:德意志银行的投资者客户大多认为今年比特币上涨空间有限,预计12个月后比特币将下跌至2万至4万美元。调查显示,对未来三个月价格最常见的预测区间是6万美元至8万美元,约36%的受访者赞同这一区间。此外,只有23%的受访者表示,他们曾购买比特币用于个人投资。(Coindesk)[2021/3/24 19:14:38]
攻击流程
注意,这个攻击流程是以下面这个交易为基础的:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54
准备阶段:
攻击者部署了两个恶意的代币合约UGT和UBT。
在UBT代币合约中,有两个恶意的函数实现:
1. 在 "transferFrom() "函数中,攻击者实现了对MasterChef的 "deposit() "函数的调用,以存入LP代币。
比特币市值升至全球市值资产第11位 超越Visa:金色财经报道,Asset Dash数据显示,目前比特币市值达4617.06亿美元,与知名公司股票市值相比,排名升至第11位,已超越Visa,Visa市值现报4599.75亿美元。[2020/12/26 16:34:36]
2. 一个 "withdrawAsset() "函数,将调用Masterchef的 "withdraw() "来提取存入的LP代币。
攻击阶段:
攻击者利用闪电贷获得了156,984 BSC-USD和157,210 BUSD。
攻击者向ParaPair发送通过闪电贷获得的BSC-USD和BUSD代币,并收到155,935枚LP代币作为回报。
然后,攻击者调用 "depositByAddLiquidity() "函数,将LP代币存入资金池。
数据:近24小时Filecoin手续费超16万FIL:Filfox数据显示,最近24小时Filecoin全网手续费近16.1万FIL,目前Filecoin基础费率接近5Nano FIL。而最近24小时FIL总产量约为21.9万枚,手续费约占总产量的73%。[2020/12/11 14:56:45]
1. 在调用此函数时:输入参数“_pid ”为18,“_tokens ”为[UGT,UBT]。
2. 因为 depositByAddLiquidity() 会调用 “UBT.transferFrom()” 函数, 因此MasterChef.deposit() 函数会被触发并且向合约存入 155,935 LP 代币。
3. 因此, 155,935 LP 代币被存入了两次并且攻击者获得了两份“userInfo” 的记录 (一次是从 UBT, 另一次是从攻击者的合约)。
最后,攻击者提取了两次:
1. 第一次是通过函数“UBT.withdrawAsset()”。
2. 另一个是来自攻击者对 “Masterchef.withdraw() ”函数的调用。最后,攻击者删除了流动资金并返还了闪电贷。
合约漏洞分析
在函数`MasterChef.depositByAddLiquidity()`中,作为参数传入的`_tokens`可以与池中的编号为`_pid`的tokens不匹配。
`depositByAddLiquidity()`函数通过调用`addLiquidityInternal()`函数,触发了传入恶意代币(UBT)的“transferFrom”函数,进而导致了重入的问题。因此,同一份LP代币被存入两次。
资产去向
截至3月13日,总共有价值约170万美元的资产被盗。3000个BNB仍然在攻击者在BSC的地址中,235个ETHs则通过Birdge转移到以太坊,并通过Tornado进行洗白。
写在最后
该次事件可通过安全审计发现相关风险:审计可以发现重入问题和外部依赖问题。
同时,CertiK的安全专家建议:
时刻关注函数的外部输入,尽量避免传入合约地址作为参数。
关注外部调用,为所有可能出现重入危险的外部调用函数加上“nonReentrant”修饰函数。
本次事件的预警已于第一时间在CertiK项目预警推特
除此之外,CertiK官网已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及Rug Pull相关的各种社群预警信息。
1.从概念到落地 Web3.0初具雏形 由区块链网络带来的基础设施正在完善,比如加密钱包取代账户注册,成为通往去中心化网络及其应用的新入口,它也是Web3.0的基建之一。除此之外,Web3.0还有哪些基建?它是否有应用支撑?本文将带来相关盘点。
新闻资讯 截止北京时间3月11日11:50,乌克兰收到的加密货币捐赠已经超过1亿美元。其中乌克兰政府官方地址累计收到约4855万美元的加密货币。 2022年2月26日晚11点,乌克兰副总理兼数字化转型部部长Mykhailo Fedorov发布推特表示,乌克兰对外接受加密货币捐款,并披露可供捐款的BTC、ETH、USDT地址,到现在已经过去11天时间。
元宇宙与DAO 2021年,元宇宙爆火的一年,在扎克伯格这个“最疯狂”的使徒带领下,腾讯、微软、字节等国内外互联网巨头公司纷纷投入进去,元宇宙成为了兵家必争之地,在他们的押注下,资本与技术成为了实现元宇宙的筹码,而元宇宙的落地更需要的是每一个个体以DAO的形式参与其中,保证虚拟世界的制度。
太阳底下没有新鲜事儿。 NFT在国内至少火了一年了,基础概念相信大家不会陌生。 简而言之,NFT用区块链技术记载的数字化内容(比如图片、视频、虚拟手办)。至于“同质”还是“不同质”,其实都是比较理论化的解释,大多数所谓的NFT产品还是有“同质”特征的,只是数量会做些限制。 NFT在中国不叫自己是NFT,而是自称数字藏品,这名字很妙,后面会说说是为啥。
前言 每个人都有过回答“你是谁”这个问题的经验。最近一次被问到“你是谁”时,你是怎麽介绍自己的?是回答姓名与职称?或是身份证字号?还是某活动的报名序号? 当我们在尝试回答“你是谁”的时候,也正在定义我们的身份。 身份会因情境不同而不同,有时是姓名,有时是身份证字号,也有时是某个临时编号。
原文: The Fundamental Problems With Play-to-Earn Games, And How To Solve Them 先说我这篇博客的结论:如果你计划推出了一个拥有代币的游戏,并且打算从一开始就让代币与外部加密交易所挂钩,那么事实上,你可能从一开始就已经失败了。
区块见闻