北京时间2022年3月13日上午9:04,CertiK安全技术团队监测到Paraluni'sMasterChef?合约遭到攻击,大约170万美元的资金通过多笔交易从该项目中被盗。
下文CertiK安全团队将从该项目的操作及合约等方面为大家详细解读并分析。
合约地址
Masterchef合约:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code
ParaSpace:安全起见,目前用户无法进行任何交易:金色财经报道,NFT 借贷协议 ParaSpace 官方表示,因团队观察到可疑交易操作,为安全起见,目前已暂停 ParaSpace 协议,用户无法进行任何交易(取款、存款、清算)。
团队正在调查,获得更多信息后将发布事件更新公告。[2023/3/17 13:10:40]
攻击者部署了两个恶意的代币合约UGT和UBT。
在UBT代币合约中,有两个恶意的函数实现:
????1.在"transferFrom()"函数中,攻击者实现了对MasterChef的"deposit()"函数的调用,以存入LP代币。
超跑租赁公司Classic Parade推出加密支付服务:2月22日消息,英国超跑租赁公司Classic Parade推出加密货币支付服务。客户现在可以选择以比特币、以太坊或英镑支付28个豪华品牌的100多辆超级跑车。在伦敦、曼彻斯特和爱丁堡的展厅里,有一款售价240万英镑的布加迪凯龙(Bugatti Chiron),每天租金为20万英镑(220.75 ETH或11.696 BTC)。(Globe Newswire)[2023/2/22 12:20:38]
????2.一个"withdrawAsset()"函数,将调用Masterchef的"withdraw()"来提取存入的LP代币。
Tribal Credit完成4000万美元债务融资,Partners for Growth、SDF参投:1月16日消息,专注于加密技术的企业支付平台Tribal Credit完成4000万美元的债务发行,通过法定货币和稳定币获得资金,为该公司在拉丁美洲拓展业务服务提供额外资本。
其混合债务轮融资是由总部位于加利福尼亚的投资公司Partners for Growth、支持Stellar区块链发展的非营利组织Stellar Development Foundation (SDF)提供资金。Tribal表示,该公司将利用这笔资金为来自整个拉丁美洲客户群的应收款项提供资金,特别是墨西哥、巴西、智利、哥伦比亚和秘鲁。(Cointelegraph)[2022/1/7 8:30:59]
攻击阶段:
攻击者利用闪电贷获得了156,984BSC-USD和157,210BUSD。
攻击者向ParaPair发送通过闪电贷获得的BSC-USD和BUSD代币,并收到155,935枚LP代币作为回报。
然后,攻击者调用"depositByAddLiquidity()"函数,将LP代币存入资金池。
???????1.在调用此函数时:输入参数“_pid”为18,“_tokens”为。
????????2.因为depositByAddLiquidity()会调用“UBT.transferFrom()”函数,因此MasterChef.deposit()函数会被触发并且向合约存入155,935LP代币。
???????3.因此,155,935LP代币被存入了两次并且攻击者获得了两份“userInfo”的记录(一次是从UBT,另一次是从攻击者的合约)。
最后,攻击者提取了两次:
???????1.?第一次是通过函数“UBT.withdrawAsset()”。
???????2.另一个是来自攻击者对“Masterchef.withdraw()”函数的调用。最后,攻击者删除了流动资金并返还了闪电贷。
`depositByAddLiquidity()`函数通过调用`addLiquidityInternal()`函数,触发了传入恶意代币的“transferFrom”函数,进而导致了重入的问题。因此,同一份LP代币被存入两次。
BNB仍然在攻击者在BSC的地址中,235个ETHs则通过Birdge转移到以太坊,并通过Tornado进行洗白。
时刻关注函数的外部输入,尽量避免传入合约地址作为参数。
关注外部调用,为所有可能出现重入危险的外部调用函数加上“nonReentrant”修饰函数。
本次事件的预警已于第一时间在CertiK项目预警推特进行了播报。
除此之外,CertiK官网https://www.certik.com/已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
标签:TERRCHTERCMASTERStatter NetworkARCHIEStarterCoinMasternodecoin
尊敬的中币用户: ????Polygon网络因大范围网络问题,出现网络中断情况,中币现已暂停MATIC主链币及MYT的充值和提现业务、VP充值业务.
原文作者:MarkStein原文:TheRiseofTheDAOEra“……有人说,民主是最糟糕的政府形式,除了那些曾多次尝试过的其他形式....” ——温斯顿·丘吉尔 总是展望下一件大事.
原文作者:J0y 原文来源:Web3Curator 原文编译:DeFi之道 GM! 本期主题是Web3social。我们将探讨当前的Web3社交领域,包括协议、Web3社交网络和NFT社交媒体.
原文作者:DocTom 原文标题:Web3—Go-toorExit-toCommunity?如何建立一个持久和参与的社区Go-to和Exit-to社区都符合Web3社区的核心理念和所有权信条:创.
近日,风险投资机构GriffinGamingPartners宣布旗下第二支基金,已获得7.5亿美元超额认购,出资方包括主权财富基金、大学捐赠基金、家族办公室和游戏行业的战略合作伙伴等.
投资加密资产时,C2C出入金渠道十分重要,相当于一个投入和退出的渠道。过去十年,主流加密资产的出入金通道逐渐集中于各种中心化的加密资产交易所中,他们以C2C的方式为买卖加密资产的用户提供了撮合系.
区块见闻