合約漏洞:pNetwork被黑事件分析
北京時間9月20日凌晨,pNetwork跨鏈項目遭到黑客攻擊,黑客利用BSC上pBTC的代碼漏洞,竊取了277枚BTC,損失價值高達1270萬美元。?
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
DeFi協議Glide Finance合約漏洞被利用,損失金額約30萬美元:10月18日消息,DeFi 協議 Glide Finance 發推稱,合約漏洞被利用,資金從配對合約中被抽走,損失金額約為 30 萬美元,漏洞原因為團隊在審計后進行了費用參數更改,但未將合約上的數字從 1000 更新為 10000。目前團隊正在聯系交易所阻止資金轉移,提醒在 Glide 流動性資金池中存放資金的用戶提取資金。
Glide Finance 是一個亦來云智能鏈(ESC)上運行的去中心化交易 / 自動化做市商、收益農業和 Staking 平臺,旨在通過充當用戶和建立在其上的項目的流動性來源來加速亦來云生態系統的采用。[2021/10/18 20:37:28]
一、事件分析
ChainSwap合約漏洞損失約800萬美元,超10種加密貨幣受到影響:跨鏈資產橋ChainSwap(ASAP)在其智能合約的一個關鍵漏洞被黑客利用后,已經損失了大約800萬美元。ChainSwap聲稱來自個人錢包的資金是安全的,但尚未恢復發送和提幣功能。目前有超過10種加密貨幣受到漏洞的影響,分別是WILD、MATTER、ROOM、UMB、NORD、RAZOR、PERI、VTX、ORO、VTX、BLANK、UFARM等。(U.today)[2021/7/11 0:43:29]
https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934
SIL Finance合約漏洞事件更新:已追回1215萬美元,所有資金安全:DeFi聚合理財服務SIL.Finance發文稱,在發現智能合約因存在高危漏洞而無法提現后,經過多方36小時的努力,已經成功追回1215萬美元,并保存在一個由團隊控制的多簽錢包地址中:0xca8A05c084B18bdb0c58ca85a39eCEB30Fb5f78e。CertiK正在審計其智能合約,在此感謝DODO和慢霧科技的幫助。官方稱已經確定了導致此次故障的根本原因,并完成了對故障影響的分析。團隊將很快發布詳細事后分析。目前所有資金都是安全的。據稱,此次事件是由智能合約權限漏洞引起的,該漏洞繼而觸發了一個通用搶先交易機器人提交一系列交易以獲利。
此前消息,SIL.Finance表示,若在此事件中任何用戶資產受損,團隊決定使用自有資金推出補償計劃:遭受損失的所有用戶將獲得2倍補償,將以SIL發放。[2021/3/20 19:03:54]
以其中一筆交易進行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整個攻擊寫在攻擊合約的構造函數中,并在攻擊完成后調用selfdestruct()函數銷毀合約,使得無法看到攻擊合約的細節內容。通過交易的事件并結合PToken合約源碼可知,攻擊者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作為輸入數據委托調用redeem函數。
隨后通過攻擊合約發送多個Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。
觸發的redeem事件都是向攻擊者的多個比特幣地址轉賬相同數量1.38個左右的bitcoin,這是跨鏈攻擊中重要的環節。
以其中的一個比特幣地址查詢,可查到相同數量的bitcoin到賬。
通過pToken的介紹可知,跨鏈轉賬中只是通過查詢相關的deposit或redeem事件這種方式來確定btc的轉賬地址與數量,并沒有進行其他的檢查!使得黑客利用這一漏洞,在BSC上觸發多次redeem事件,竊取大量的BTC。
二、安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
Tags:FINAFINNANANCBitBlocks FinanceFINANCEAIFrench Connection FinanceNotional Finance
面向政府和企業仍然是各上市公司區塊鏈業務主要的落地模式,金融、溯源、電子票證和版權仍是主要的應用場景;在營收方面,只有遠光軟件一家公司明確了區塊鏈業務具體營收.
1900/1/1 0:00:00巴比特訊,9月26日,由杭州市拱墅區人民政府、區塊鏈服務網絡發展聯盟主辦,中國移動通信集團設計院有限公司、中國銀聯浙江分公司、杭州拱墅區數產園管委會、智慧城市發展聯盟協辦的2021年區塊鏈服務網.
1900/1/1 0:00:00巴比特訊,9月3日,2021中國服務貿易交易會浙江主賓省活動在北京國家會議中心隆重舉行,并發布了2020年度浙江省數字貿易百強榜.
1900/1/1 0:00:00巴比特訊,9月10日,在第九屆中國中小企業投融會中的區塊鏈產業峰會分論壇上,歐科云鏈運營總監梁晨受邀參與圓桌對話,與河南省大數據研究院副院長管濤.
1900/1/1 0:00:00NFT行業也有瓜吃了。 北京時間9月15日,推特用戶Zuwu發推指責OpenSea產品負責人NateChastain?利用“老鼠倉”不當獲利.
1900/1/1 0:00:00作者|?陳麗姍?編審?|于百程?排版?|?王紀瓏琰 導讀 據彭博資訊分析,到2024年,元宇宙的市場規模將達到8000億美元。元宇宙有三個關鍵方面:存在感、互操作性和標準化.
1900/1/1 0:00:00