以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 波場 > Info

獨家 | Fairyproof Tech:分叉復制PancakeBunny代碼 Dot Finance遭“同源”攻擊_ANC:PANTO

Author:

Time:1900/1/1 0:00:00

本文由“Fairyproof Tech”原創,授權“金色財經”獨家發布。

8月25日,BSC鏈上的收益聚合應用Dot.Finance受到閃電貸攻擊。受本次攻擊事件的影響,項目代幣PINK在短時內發生暴跌,從0.77美元跌至0.5美元。

這次攻擊事件中有兩點值得我們注意:

一是閃電貸再次成為黑客的工具,將攻擊的后果放大。

二是本次攻擊與前陣子PancakeBunny受到的攻擊同源。

關于“閃電貸”,我們已經在往期的文章中多次介紹:它不是攻擊的元兇而只是攻擊利用的手段。本文特別想強調的是第二點,也就是本次攻擊與PancakeBunny的同源性。

我們在本文所說的“同源”通俗的理解就是本項目出現的漏洞與PancakeBunny一樣。為什么會這樣呢?原因就在于Dot Fiance是分叉自PanacakeBunny的代碼,而在分叉復制的過程中,項目方或許是因為疏忽,或許是因為其它原因,并沒有對代碼進行詳細審計,以致PancakeBunny代碼中的漏洞也一并復制過來了,而沒有得到修正。

獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,10月19日,Bakkt比特幣月度期貨合約日交易額為4869萬美元,同比下降17%,未平倉合約量為1369萬美元,同比上漲8%。[2020/10/20]

由于本次攻擊與PancakeBunny具有同源性,因此我們有必要首先回顧一下PancakeBunny此前受到的攻擊情況,這些攻擊事件具體如下:

2021年5月20日,PancakeBunny第一次遭遇攻擊

2021年5月26日,PancakeBunny第二次遭遇攻擊

2021年7月17日,PancakeBunny在Polygon上的版本遭外部攻擊

本次Dot Finance受到的攻擊則與 PancakeBunny第二次遭受的攻擊是相同的漏洞。具體地說,Dot Finance分叉復制了PancakeBunny的收益聚合部分,但沒有修正其隱藏的漏洞。

獨家 | Bakkt期貨合約數據一覽:金色財經報道,Bakkt Volume Bot數據顯示,4月28日,Bakkt比特幣月度期貨合約單日交易額為916萬美元,環比下降2%,未平倉合約量為697萬美元,環比下降5%。[2020/4/29]

Fairyproof Tech對本次事件的詳細分析如下:

在本次攻擊中,

攻擊者的地址為:0xDFD78a977c08221822F6699AD933869Da6d9720C

攻擊合約的地址為:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879

被攻擊的合約為“VaultPinkBNB”,其地址為:0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07

獨家 | 褚康:全球市場避險情緒嚴重 但BTC仍未被主流資金認可:針對加密貨幣市場大跌,犇睿資本創始人褚康在接受金色財經獨家采訪時表示,肺炎疫情在全球范圍內蔓延;美國股民不認可美聯儲的降息使得美股持續大幅度下跌;歐佩克組織與俄羅斯并未就石油減產達成協議,歐佩克報復性提高原油產量,盤面上原油期貨跌超20%。受此影響,全球避險情緒非常濃厚。雖然黃金跳高上漲,但黃金作為避險資產的共識非常強烈,比特幣目前還未被主流資金認可為避險資產,仍屬于高風險資產。

近日有些機構發布了相關研究報告,寄希望于各國央行降息和QE,疊加比特幣減半周期來臨,預判未來比特幣會迎來長牛,我認為不一定正確。全球央行放水,資金也不一定會流入到比特幣市場,比特幣要受到更多資金的認可,還需要區塊鏈技術的長久發展和落地應用來證實,同時也需要比特幣來證明自身擁有更強的穩定性和價值存儲的作用。短期內不能指望比特幣減半的行情,主要還是受全球金融不確定性因素影響,場內沒有大資金能拉的起來,也沒有資金有意愿在這個時候去抬升比特幣市值。同時,據我們多方統計調研,場外大資金短期內還并不認可比特幣的減半邏輯。陣痛都會有,危機既是“危”也是“機”,應該靜候疫情危機后的“機會”。穩健的投資者應該短期觀望為主,做好加密資產的合理倉位配置。[2020/3/9]

具體在合約“VaultPinkBNB”中,出現漏洞的代碼為“getReward()”函數,函數完整代碼如下:

獨家 | 三星發布區塊鏈平臺SDK 目前僅支持ETH:金色財經現場報道,三星10月29日在圣何塞舉行的2019開發者大會上正式發布了三星區塊鏈平臺SDK(Sumsung Blockchain Platform SDK),通過API提供了賬戶、錢包、交易管理功能,提供簡單的支付界面,并集成Dapp瀏覽器Cucumber,開發者無需再了解技術實現細節,只需通過API調用需要的功能,極大方便Dapp開發。在開發演示現場,金色財經記者在三星技術人員指導下短時間內就建立一個用測試網ETH購買Galaxy手機的電商Dapp。同時金色財經了解到,三星區塊鏈平臺SDK目前僅支持ETH。[2019/10/31]

獨家 | 昨日新增258個代幣型智能合約 其中Fomo變版游戲合約得分僅1.5 風險最高:第三方大數據評級機構RatingToken最新數據顯示,2018年8月3日全球共新增2118個合約地址,其中258個為代幣型智能合約。據RatingToken團隊發布的“新增代幣型智能合約風險榜”,LastUnicorn Round #2(LUR2)、testToken(test)和New Chance(NEWCH)風險最高,檢測得分分別為1.50、1.85和2.00,其中Fomo變版游戲合約LastUnicorn Round #2存在24個風險項。其他登上該風險榜TOP10的還包括F5D(F5D)、Exit Fraud(EXITF)、GScam Round #1(GS1)、YuleSale、Tier 1、FoolSale和CoolSale。如需查看更多智能合約檢測結果,請查看原文鏈接。[2018/8/5]

函數中具體出現漏洞的代碼片段為:

上述代碼片段在計算獎勵時,_minter.performanceFee(cakeBalance)傳入的參數cakeBalance 是CAKE代幣的余額。攻擊者可以在調用getReward前將閃電貸借入的CAKE轉入 VaultPinkBNB合約,導致產生非預期的performanceFee值,而_minter.mintFor()則根據這個非預期的performanceFee值增發超額的PINK獎勵代幣。然后攻擊者將PINK在Pancake上賣出換為BNB和CAKE,一部分償還閃電貸,剩余部分則為本次攻擊的獲利。

這類由項目之間的相互分叉而導致漏洞傳導的事件已經不是第一次發生,我們相信未來這類漏洞還會發生。

單就本次攻擊及漏洞的來源來看,Fairyproof Tech強烈建議,所有分叉自PancakeBunny或與 PancakeBunny同源的項目都應再次審查項目代碼是否存在類似的漏洞,對代碼進行安全審計。

如果從本次漏洞出現的模式看,所有分叉自其它項目的項目都應提高警惕。這類具有同源性質的多個項目,無論其漏洞本身隱藏得多么深,但只要發生一次、被業界公開,其它的同源項目都應該引起警示并馬上著手整改。因為此類漏洞一旦被披露,理論上項目方是有足夠的時間來修正問題的。只要項目方在漏洞發生的第一時間對本項目代碼進行二次審計和測試,本項目受到后續攻擊是完全可以避免的。

因此Fairyproof Tech再次提醒項目方,尤其是分叉自其它項目的項目方,每當同源項目受到攻擊時,應立刻著手對本項目代碼進行再次審計,避免項目重蹈覆轍。

關于Fairyproof Tech:

Fairyproof Tech科技有限公司是一家專注區塊鏈生態安全的公司。Fairyproof Tech科技主要通過“代碼風險檢測+邏輯風險檢測“的一體化綜合方案服務了諸多新興知名項目。公司成立于2021年01月,團隊由一支擁有豐富智能合約編程經驗及網絡安全經驗的團隊創建。

團隊成員參與發起并提交了以太坊領域的多項標準草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569 被以太坊團隊正式收入。

團隊參與了多項以太坊項目的發起及構建,包括區塊鏈平臺、DAO組織、鏈上數據存儲、去中心化交易所等項目, 并參與了多個項目的安全審計工作,在此基礎上基于團隊豐富的經驗構建了完善的漏洞追蹤及安全防范系統。

作者:

Fairyproof TechCEO 譚粵飛

美國弗吉尼亞理工大學(Virginia Tech, Blacksburg, VA, USA) 工業工程(Industrial Engineering) 碩士(Master)。曾任美國硅谷半導體公司 AIBT Inc(San Jose, CA, USA) 軟件工程師,負責底層控制系統的開發、設備制程的程序實現、算法的設計,并負責與臺積電的全面技術對接和交流。自2011至今,從事嵌入式,互聯網及區塊鏈技術的研究,深圳大學創業學院《區塊鏈概論》課程教師,中山大學區塊鏈與智能中心客座研究員,廣東省金融創新研究會常務理事 。個人擁有4項區塊鏈相關專利、3本出版著作。

Tags:ANCCAKEPANBUNNYUniCap.financeTHUNDERCAKEPANTOBUNNYINU

波場
一周必讀10篇 | 各國加密貨幣的監管進度如何?_AME:XDEFI幣

1.各國加密貨幣的監管進度如何?隨著加密貨幣交易市值的增加,國際上其他各國對加密貨幣的監管討論和措施也在逐漸成型。本文中我們將列舉已經提出相關監管措施或開展討論的監管措施.

1900/1/1 0:00:00
什么是 POAPs 為什么要收集它們?_NFT:區塊鏈

原文標題:What Are POAPs, and Why Should You Collect Them? POAPs 是什么? POAP(發音為 poh-ap)是出勤證明協議的首字母縮寫詞.

1900/1/1 0:00:00
首發 | 躺平、掙扎、穩中求進?今年在納斯達克上市的公司 如今怎么樣了?_COIN:BLOCK

本文系PUNK財經原創,作者Baihui,授權金色財經首發,轉載請注明來源。嗨,你是有多久沒主動想起Coinbase了?那個美國散戶最愛的Robinhood,你還有印象嗎?加密貨幣礦企Hive.

1900/1/1 0:00:00
“女股神”Cathie Wood:將推出專注于透明度的新ETF_ARK:CETF幣

據彭博社報道,ARK基金創始人 Cathie Wood 周二在一份文件中透露,將推出專注于透明度的新交易所交易基金(EFT).

1900/1/1 0:00:00
盤點合成資產Synthetix生態項目:上線后能否整體帶動合成資產的應用_DEL:HET

同一生態中的項目之間可能產生奇妙的組合,促進生態的整體發展。近期老牌合成資產項目Synthetix生態中有一系列項目即將上線主網,并部署到以太坊二層擴容方案Optimism上,這可能帶動Synt.

1900/1/1 0:00:00
中國證券報:國有大行搶抓數字人民幣先發優勢_數字人:BSP

原文標題《國有大行金融科技研發和應用力度持續加大》2021年半年報顯示,六大國有銀行加大了金融科技研發和應用力度,在智慧風控、數字化經營、普惠金融、生物識別等方面均取得成果.

1900/1/1 0:00:00
ads