RED:合约漏洞：pNetwork被黑事件分析_REDSHIBA价格

合约漏洞：pNetwork被黑事件分析

北京时间9月20日凌晨，pNetwork跨链项目遭到黑客攻击，黑客利用BSC上pBTC的代码漏洞，窃取了277枚BTC，损失价值高达1270万美元。?

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

BiSwap：已检测并解决Migrator合约漏洞，请勿与访问该合约，用户资金安全:7月1日消息，BSC跨链交易平台BiSwap今日凌晨在推特上表示，团队检测并解决了Migrator合约漏洞。Biswap V2和V3 AMM协议上的资产是安全的。团队阻止通过网站访问迁移过程，因为Migrator合约已被利用，不要试图直接访问本合约，如尚未这样做，请撤销对这些合约的批准。正在更详细地审查此漏洞的结果，后续将发布报告。用户资金是安全的，上述漏洞与AMM V2和V3资金无关。[2023/7/1 22:12:23]

一、事件分析

SharedStake发布被攻击报告：系内部人员利用合约漏洞所为:以太坊2.0质押解决方案SharedStake发布被攻击报告称，此前SharedStake代币在正式推出前被铸造的原因在于内部人员利用时间锁合约（即在固定时间执行某操作的智能合约）漏洞所为。该漏洞于4月26日由白帽Lucash-dev提交给团队，某位团队成员因有查看漏洞的权限，于是利用该漏洞于6月19日和23日四次在主网铸造了价值约50万美元的代币并于正式推出后进行了抛售、抵押等操作。虽然没有足够的证据，但SharedStake核心成员怀疑是团队新成员所为。SharedStake表示目前正在修复漏洞，并将在以后对协议资金进行多签管理。[2021/6/24 0:02:29]

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

SIL Finance合约漏洞事件更新：已追回1215万美元，所有资金安全:DeFi聚合理财服务SIL.Finance发文称，在发现智能合约因存在高危漏洞而无法提现后，经过多方36小时的努力，已经成功追回1215万美元，并保存在一个由团队控制的多签钱包地址中：0xca8A05c084B18bdb0c58ca85a39eCEB30Fb5f78e。CertiK正在审计其智能合约，在此感谢DODO和慢雾科技的帮助。官方称已经确定了导致此次故障的根本原因，并完成了对故障影响的分析。团队将很快发布详细事后分析。目前所有资金都是安全的。据称，此次事件是由智能合约权限漏洞引起的，该漏洞继而触发了一个通用抢先交易机器人提交一系列交易以获利。

此前消息，SIL.Finance表示，若在此事件中任何用户资产受损，团队决定使用自有资金推出补偿计划：遭受损失的所有用户将获得2倍补偿，将以SIL发放。[2021/3/20 19:03:54]

以其中一笔交易进行分析：https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中，并在攻击完成后调用selfdestruct()函数销毁合约，使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知，攻击者首先以amount:0，userData:0x，underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin，这是跨链攻击中重要的环节。

以其中的一个比特币地址查询，可查到相同数量的bitcoin到账。

通过pToken的介绍可知，跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量，并没有进行其他的检查！使得黑客利用这一漏洞，在BSC上触发多次redeem事件，窃取大量的BTC。

二、安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

标签：REDSHAAREEDSMirrored GameStopAbitshadow TokenGamer ArenaREDSHIBA价格

酷币热门资讯