COIN:独家 | 灵踪安全：Pinecone被攻击事件分析_coinbase下载app

本文由“灵踪安全”原创，授权“金色财经”独家发布。

8月19日，BSC上的收益聚合项目PineconeFinance的保险库受到黑客攻击，损失约350万没PCT代币。

截至写稿时为止，项目方已经针对此次攻击中受损的用户发布了补偿计划：项目团队及投资人共持有491万枚代币，将用所有代币补偿用户。

尽管此次攻击受损的金额相对近期动辄千万、上亿美元的金额不算太大，但这起攻击事件还是给我们留下了值得吸取的经验和教训。

这次攻击出现漏洞的地方在于转账过程使用的代币有损耗，而合约对这个损耗没有处理好于是就导致漏洞出现从而被黑客攻击。

在正常状况下，用户之间转账代币的时候，如果代币在转账过程中没有损耗，处理起来是比较简单的。但如果某些代币在转账过程中会出现损耗，则处理这类代币的转账就要非常小心了。

独家 | 比特币年化期现价差为6.64% 市场情绪指数为“乐观”:金色财经报道，据同伴客数据显示，9月21日（格林威治标准0时）比特币年化期现价差为6.64%，较前一日下跌0.09%，市场情绪指数为“乐观”。

指数参考：>20% 极度牛市；10%~20% 牛市；5%~10% 乐观；2%~5% 谨慎乐观；0~2% 谨慎；-5%~0 谨慎悲观；-10%~-5% 悲观；-20%~-10%熊市；<-20%：极度熊市[2020/9/21]

在Pinecone项目中，其代币PCT是作为资金池的质押代币，在其合约设计的代币转账过程中会有手续费的损耗。而项目将这个损耗计入了用户的份额中，于是用户份额和质押的PCT总额就会出现偏差。这个偏差就能被攻击者用来领取多余的奖励。

具体而言，本次攻击存在漏洞的合约有：

PineconeFarm合约，其地址为：

独家 | BTC 24h 链上活跃度下降:据欧科云链OKLink数据显示，BTC 24h链上活跃地址数总计969305，较前日下降3.67% ；链上交易量总计554319.62 BTC，较前日上升0.8% ；链上交易笔数总计316502，较前日下降12.22% ；BTC链上活跃度下降。

截至上午10时，BTC全网算力约为122.29EH/s，较前日下降2.31EH/s，全网算力呈下降趋势。[2020/7/16]

0x4099f27fb72788b7bb5cb64e3d2b865eb82d0f8f

farm合约使用的策略合约IPineconeStrategy，其地址为：

0x1e542DB46eb87cc8E5fA8e1856eC53F89dc4bC89

PCT代币合约，其地址为：

0x6019384a802310117a6E889e7021d2d0A144fE50

独家 | Bakkt期货合约数据一览:金色财经报道，Bakkt Volume Bot数据显示，3月26日，Bakkt比特币月度期货合约单日交易额为609万美元，环比下降21%，未平仓合约量为420万美元，环比上升1%。[2020/3/27]

漏洞涉及的相关代码片段为：

PineconeToke的_transfer()函数：

在这里，PineconeToken的transferFrom的调用了_transfer()函数，在_transfer()中用户转账会收取手续费，因而实际到账的金额比transferFrom传入的amount值要小。

PineconeFarm合约的deposit()函数：

独家 | 印尼交易所FUTURAX用户交易存在token“耗损”风险:第三方大数据评级机构RatingToken最新数据显示，2018年8月12日全球共新增1418个合约地址，其中335个为代币型智能合约。RatingToken安全审计团队发现，近日上线的印尼加密货币交易平台FUTURAX(FTXT)，该合约代码中存在除法类型强制转换，在使用ETH购买Token的过程中，会将购买数量强制转换为整数，该问题将导致部分ETH交易Token用户产生损失。

此外，昨日新增合约风险榜TOP10的包括Vote Bhelp(Bhelp)、SuperCard(SPC)、FoMo3D Long Official(F3D)、OK3D(OK3D)、Airpay Tier 3、Tokensale、Q3 Token(Q3)、3)、Seacharters.com Da Dan和Rich peasant chain(RPC)。如需查看更多智能合约检测结果，请查看原文链接。[2018/8/14]

独家 | 陈云峰：加密领域对投资者保护与发行主体资质规范稍显不足:据路透消息，泰国证券交易委员会（SEC）周三宣布，数字货币发行规定将于7月16日生效。泰国SEC在一份声明中表示，数字货币的发行人必须是依据泰国法律注册的公司，并且具备向机构投资者、超高净值投资者、风险投资和私募股权公司提供无限资产的能力，但它们只能向散户投资者提供最高30万泰铢（约9050美元）的数字货币。中伦文德律师事务所高级合伙人陈云峰在接受金色财经独家采访时指出，一方面，这意味着泰国监管部门对于加密货币的监管态度趋严，通过设置投资者准入门槛、发行人资质要求等，让加密货币投资领域“有法可依”；另一方面，投资者的风险承受能力不同，而加密货币投资市场同样存在一定的风险，因此针对投资者设定一定的准入门槛，也是投资者保护的需要。投资额度和投资者的财务状况、专业知识、风险承受能力有关，而发行人应适当采取KYC措施，对投资者进行背景调查和风险提示。一般来说，在金融投资领域，对于适格投资人都有明确的法律规定，如设定个人资产标准、投资领域等，通过这些门槛以起到维持金融市场的稳定，而加密货币投资同样属于投资领域，相较于传统金融领域，对于投资者保护和发行主体资质的规范稍显不足，而金融秩序必须以稳为前提，因此在投资者保护方面，可以参照传统金融领域的规范。[2018/7/6]

在上述代码中，PineconeFarm将存入的PCT质押到IPineconeStrategy合约中获取收益。通过使用BSC的vm?trace工具，可以发现这个IPineconeStrategy是一个VaultRabbitCake合约。PineconeFarm对用户份额share的计算会用到_wantAmt。而这个_wantAmt和下面的函数片段又有关联。

策略合约的deposit()函数

从上述代码可以看出，在计算sharesAdded时，其分母是wantTotal，而wantTotal依赖balance()。balance是关联的总锁仓PCT余额。由于实际的PCT余额小于deposit传入的金额_wantAmt，这就会造成用户份额在计算时增加了。

最后，当攻击者调用withdraw函数时，只要输入比deposit值大的参数就可以赎回超过质押数的PCT代币。

按照这个机制，黑客在攻击时，可以重复重复调用deposit和withdraw功能，从而导致合约质押的PCT损耗不断增加、资金池持有的PCT余额不断变小。然后在计算奖励时，由于使用资金池中的余额作为分母，而分母越小，则可额外领取的奖励就越多。

了解了代码的漏洞及相关机制后，我们再来看黑客诸多攻击中的一次攻击：

这次攻击中，黑客的地址为：0xfc6682db7e9f57882e8b18ebc9adc7a19f770494，其交易流程如下：

可以看出第一笔交易0xe446f质押了8.1万PCT，然后在0x76d33提取奖励时却提取了16万PCT。

我们继续查看withdraw交易的参数，可以看出传入amount值为22603495a2af5d0ccc34，将其转换为10进制数就是16万，远超质押金额8.1万。详细细节如下图所示：

从这次攻击的漏洞原因看，在转账时有损耗的代币在参与收益类项目时，存在较多的问题。因此灵踪安全提醒项目方要充分考虑损耗对收益计算的影响。

对此类问题，灵踪安全一直以来都会在审计时特别和项目方强调。另外我们也再次强调审计在项目中的重要性，希望项目方在项目上线前充分做好审计工作。

关于灵踪安全：

灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月，团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。

团队成员参与发起并提交了以太坊领域的多项标准草案，包括ERC-1646、ERC-2569、ERC-2794，其中ERC-2569被以太坊团队正式收入。

团队参与了多项以太坊项目的发起及构建，包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目，并参与了多个项目的安全审计工作，在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。

作者：

灵踪安全CEO谭粤飞

美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师，负责底层控制系统的开发、设备制程的程序实现、算法的设计，并负责与台积电的全面技术对接和交流。自2011至今，从事嵌入式，互联网及区块链技术的研究，深圳大学创业学院《区块链概论》课程教师，中山大学区块链与智能中心客座研究员，广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。

标签：COINOINBASEINBAPR CoinBitMart Coincoinbase下载appcoinbase是正规平台吗

币安app下载热门资讯