链资讯 链资讯
Ctrl+D收藏链资讯
首页 > Uniswap > 正文

首发 | 一张支票提款两次的作案手法 你一定不陌生 Paraluni 被攻击事件分析

作者:

时间:

北京时间2022年3月13日上午9:04,CertiK安全技术团队监测到Paraluni's MasterChef 合约遭到攻击,大约170万美元的资金通过多笔交易从该项目中被盗。

下文CertiK安全团队将从该项目的操作及合约等方面为大家详细解读并分析。

漏洞交易

攻击者地址: https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f 

交易实例: https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

合约地址

Masterchef合约: https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

攻击流程

注意,这个攻击流程是以下面这个交易为基础的:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

准备阶段:

NFT游戏My DeFi Pet与MakerDAO达成合作:10月16日消息,NFT游戏My DeFi Pet与MakerDAO达成合作,其即将推出的NFT市场将支持稳定币DAI。玩家将能够通过完成游戏中的任务来获得DAI作为奖励。具有特殊要求的PVE和PVP战斗模式即将推出,将使玩家有机会获得DPET和DAI。此外,由于其稳定的价值,DAI是市场上受欢迎的加密货币,并且可以在全球范围内轻松转移。因此,MakerDao的集成将为My DeFi Pet在BEP20和KRC20游戏服务器中的生态系统带来稳定性。[2021/10/16 20:34:35]

攻击者部署了两个恶意的代币合约UGT和UBT。

在UBT代币合约中,有两个恶意的函数实现:

1. 在 "transferFrom() "函数中,攻击者实现了对MasterChef的 "deposit() "函数的调用,以存入LP代币。

2. 一个 "withdrawAsset() "函数,将调用Masterchef的 "withdraw() "来提取存入的LP代币。

攻击阶段:

攻击者利用闪电贷获得了156,984 BSC-USD和157,210 BUSD。

攻击者向ParaPair发送通过闪电贷获得的BSC-USD和BUSD代币,并收到155,935枚LP代币作为回报。

然后,攻击者调用 "depositByAddLiquidity() "函数,将LP代币存入资金池。

1. 在调用此函数时:输入参数“_pid ”为18,“_tokens ”为[UGT,UBT]。

2. 因为 depositByAddLiquidity() 会调用 “UBT.transferFrom()” 函数, 因此MasterChef.deposit() 函数会被触发并且向合约存入 155,935 LP 代币。

3. 因此, 155,935 LP 代币被存入了两次并且攻击者获得了两份“userInfo” 的记录 (一次是从 UBT, 另一次是从攻击者的合约)。

最后,攻击者提取了两次:

1. 第一次是通过函数“UBT.withdrawAsset()”。

2. 另一个是来自攻击者对 “Masterchef.withdraw() ”函数的调用。最后,攻击者删除了流动资金并返还了闪电贷。

合约漏洞分析

在函数`MasterChef.depositByAddLiquidity()`中,作为参数传入的`_tokens`可以与池中的编号为`_pid`的tokens不匹配。

`depositByAddLiquidity()`函数通过调用`addLiquidityInternal()`函数,触发了传入恶意代币(UBT)的“transferFrom”函数,进而导致了重入的问题。因此,同一份LP代币被存入两次。

资产去向

截至3月13日,总共有价值约170万美元的资产被盗。3000个BNB仍然在攻击者在BSC的地址中,235个ETHs则通过Birdge转移到以太坊,并通过Tornado进行洗白。

写在最后

该次事件可通过安全审计发现相关风险:审计可以发现重入问题和外部依赖问题。

同时,CertiK的安全专家建议:

时刻关注函数的外部输入,尽量避免传入合约地址作为参数。

关注外部调用,为所有可能出现重入危险的外部调用函数加上“nonReentrant”修饰函数。

本次事件的预警已于第一时间在CertiK项目预警推特

除此之外,CertiK官网已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及Rug Pull相关的各种社群预警信息。

标签:AIN比特币RAIRAINblockchain钱包进不去2009年淘宝买了比特币怎么保存RAINIrainbow币最新消息

Uniswap热门资讯
国内NFT买到“假”作品 你被NFT割韭菜了吗?

近日,国内某NFT交易平台一个账号被爆出照搬国外某NFT交易平台账号的作品售卖。 国外一个团队与艺术家Maya Delia合作,创造了一个NFT小马系列。据介绍这个系列的作品每周都会在CryptoHans上更新,目标是7777个形象,最终会在国外的NFT交易平台OpenSea上交易。

金色观察|一文读懂Fantom网络的设计原理

Fantom是一个高性能、可扩展、兼容EVM且安全的智能合约平台。Fantom的主网部署Fantom?Opera建立在Fantom的共识机制Lachesis之上。是一个无领导、异步和拜占庭容错的第1层区块链协议。 Fantom解决了金融系统需要的高吞吐量和快速终结性。

世界上第一场加密战争:DAO和NFT在乌克兰扮演了什么角色?

战争没有对错,只有悲剧。俄乌冲突的大幅升级使之成为二战以来发生在欧洲的最大军事冲突。今天是俄乌冲突的第23天, 随着超过300万乌克兰人逃离祖国,此次军事行动也将使欧洲面临二战以来最大的难民危机。 加密货币现已是全球金融体系中不可忽视的部分,这意味着无论好坏它也不可避免地成为国际冲突的一部分,这也在俄乌冲突中得到了充分的体现。

招兵买马 张一鸣和字节跳动半只脚踏进元宇宙

原标题:《张一鸣半只脚踏进元宇宙》 字节跳动正在为旗下VR业务Pico大规模招兵买马。 服务器端开发工程师、人机工程专家、视觉感知算法工程师、软件测试、电池专家……打开字节跳动招聘官网,《中国企业家》发现,截至3月15日,Pico的招聘岗位多达291个,分布在北京、上海、青岛等地区。

Web3和DAO

潜移默化发展中的DAO 在2021年,随着区块链、元宇宙等概念的大火,另一个衍生出来的名词—DAO也广受人们关注。DAO的发展经历了许多变化,在去中心化概念不断深入人心的同时,DAO 的组织模式被许多组织和机构开始采用,通过社区集体治理的方式,推动组织和机构不断发展。同时DAO也呈现出一种多元化发展,在风投、媒体、资助、收藏等领域出现了大量项目与应用。

Aave和Sushi“新品”发布能否引领DeFi卷土重来?

2022 年,越来越多人把目光聚焦在 NFT 领域,DeFi 市场光彩似乎已不复以往。 数据不会说谎,从 Coingecko 提供的分析来看,“寿司” SushiSwap 早已跌出 DEX 交易量排名前十,而 Aave 锁仓量也在 2021 年 10 月触及 200 亿美元峰值后缩水至 120 亿美元左右,几乎腰斩。