北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。
下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。
合約地址
Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code
Lightning Labs獲得7000萬美元B輪融資 Valor Equity Partners領投:金色財經報道,周二,Lightning Labs聯合創始人兼首席執行官伊麗莎白斯塔克宣布了Taro及其將穩定幣等資產引入比特幣區塊鏈的競標。除了Taro,Lightning Labs還宣布籌集了7000萬美元的B輪融資,由ValorEquityPartners領投,全球資產管理公司BaillieGifford跟投。斯塔克表示,Taro改進了比特幣的功能,并且因為Taproot是去年激活的升級。Taproot具有三個升級功能:Schnorr簽名、Tapscript和MerkelizedAbstractSyntaxTrees(MAST)。Taproot為比特幣提供了效率、隱私和靈活性的收益,但前提是它被開發人員內置到用戶的工具中。Taro代表了Taproot(特別是MAST)投入使用時可能會發生的事情。(coindesk)[2022/4/5 14:05:53]
攻擊者部署了兩個惡意的代幣合約UGT和UBT。
Genesis Shards宣布18Ventures已成為其Access Partner:波卡生態面向NFT的Pre-IDO市場Genesis Shards發推稱,18Ventures已成為其Access Partner,將致力于把早期“璞玉”DeFi項目帶入Genesis Shards生態系統。
據悉,Genesis Shards生態系統包括三部分:Genesis Access shards、Genesis Ecosystem shards與Genesis Mentor shards。其中,ACCESS Shards是指擴大生態系統以獲得盡可能多的關注,從而找到最有前途的項目。
注:Genesis Shards將NFT轉化為Pre-IDO代幣流動性工具和跨鏈DeFi產品套件。GenShards被用于啟動Pre-IDO流動性,通過Gen Ticket NFT實現。此前Genesis Shards已融資270萬美元,LD Capital、Spark Digital Capital等參投。[2021/4/19 20:36:39]
在UBT代幣合約中,有兩個惡意的函數實現:
動態 | CryptoCompare發布加密資產新分類方法:據Crypto Globe消息,數字貨幣市場數據供應商CryptoCompare發布了“2018加密資產分類報告”,該報告首先提出對加密資產的定義,定義指出一種加密資產是一種在P2P網絡中運作的數字資產,由一個由公共密鑰基礎設施控制的共識機制控制。該系統的規則由網絡參與者驗證;這些節點可以驗證共享賬本的整個交易歷史。同時提出新的分類方法,包括虛擬令牌、非虛擬令牌、實用程序令牌、付款代幣、資產代幣。[2018/10/17]
????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。
????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。
攻擊階段:
攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。
攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。
然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。
???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。
????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。
???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。
最后,攻擊者提取了兩次:
???????1.?第一次是通過函數“UBT.withdrawAsset()”。
???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。
`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。
BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。
時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。
關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
貨幣監管的新行政命令,名為《關于確保負責任地發展數字資產的行政命令》。簡單來說,該命令要求財政部、美國證券交易委員會和其他機構研究數字資產對消費者和市場穩定的潛在威脅,實質上為政府計劃如何平衡消.
1900/1/1 0:00:00DankDAO 自從去年10月Dank協議推出以來,我們遇到了來自世界各國和地區的許多密碼愛好者。大家聚集在一起是因為有共同的信仰。我們看到了不同文化、不同思想的碰撞,也看到了創新的火花.
1900/1/1 0:00:00NFT是一個新興的小眾加密領域,2020年起愈發引人注目,越來越多的名人、高凈值收藏家入場參與投資NFT產品,知名機構參與NFT項目的部署,NFT快速發展得益于DeFi的火爆.
1900/1/1 0:00:00版權NFT交易平臺Euterpe今日宣布獲得HKICEx(香港國際商品交易所)投資。HKICEx隸屬于HKFAEx。香港金融資產交易集團是香港三大交易所之一.
1900/1/1 0:00:00尊敬的XT.COM用戶:CELO節點升級維護,XT.COM現已暫停CELO充值與提幣業務。給您帶來的不便,請您諒解.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線FWT,詳情如下:上線交易對:FWT/USDT??幣種類型:ERC20充值功能開放時間:已開放交易功能開放時間:2022年3月16日17:00提現功.
1900/1/1 0:00:00