PAR:Paraluni被攻擊事件分析：一張支票提款兩次的作案-ODAILY_autopark

北京時間2022年3月13日上午9:04，CertiK安全技術團隊監測到Paraluni'sMasterChef合約遭到攻擊，大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

漏洞交易

攻擊者地址:https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f

交易實例:https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

Paradigm正在開源MEV Bot 框架“Artemis”:5月5日消息，加密風投公司Paradigm宣布正在開源 MEV Bot 框架“Artemis”，Artemis 是一個用 Rust 編寫 MEV Bot 的框架，具有簡單性、模塊化和高性能等特點。Artemis 通過為編寫 MEV Bot 提供靈活和可重用的組件，并作為貢獻策略和守護者的存儲庫，來緩解 MEV 市場中新進入者面臨的諸多障礙。

Artemis core 包括三個主要組件，有 Collectors（接收如未決交易、新區塊、鏈下訂單等的外部事件，并將它們轉化為內部事件表示、策略（包含每個 MEV 機會所需的核心邏輯）和執行器。此外，Paradigm 正在開源跨市場 NFT 套利策略。[2023/5/5 14:44:07]

合約地址

韓國交易所Fobligate宣布支持Flare Network的Spark空投:韓國加密貨幣交易所Fobligate宣布將支持Flare Network的Spark空投，幫助將Spark代幣分發至XRP社區。Spark代幣與XRP數量一比一發放，將在快照后直接發送至用戶的錢包。8月12日，Flare宣布，所有能夠申領Spark代幣的XRP地址的快照將于12月12日完成。在EVM的幫助下，Flare試圖將智能合約引入XRP，同時利用以太坊網絡進行構建。（U.Today）[2020/11/16 20:58:41]

Masterchef合約:https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

攻擊流程

聲音 | The Force Partners合伙人：杠桿ETF是普通投資者放大收益的工具:2月19日晚間，The Force Partners合伙人王翔做客抹茶周三見時表示：相較于期權、合約等高門檻的交易工具，杠桿ETF更容易讓普通投資者理解與上手。此外他還指出，合成類資產及衍生資產，能夠幫助市場優化整體流動性。The Force Partners是一家圍繞全球區塊鏈產業及衍生應用領域進行投資的專業機構。基金目前主要為布局有三方面：風險投資基金，二級市場管理人基金，算力基金。MXC抹茶周三見”是MXC抹茶推出的一檔AMA活動，不定期邀請重量級嘉賓在周三進行分享。[2020/2/19]

注意，這個攻擊流程是以下面這個交易為基礎的：https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

分析 | SparkPool成Cosmos最受歡迎的驗證全節點:據LongHash消息，LongHash從3組數據，6 個維度解析Cosmos驗證節點，發現Cosmos的網絡治理還是存在比較嚴重的中心化，而SparkPool則成為了最受歡迎的驗證節點。SparkPool擁有最多的委托人311個，并且在24小時內增加了37個委托人，成為實際最受歡迎的驗證節點。SparkPool的Voting Power排在第12位，比較靠前，其傭金是0%，委托人會享受到網絡的最大分紅，而Minimum Self-delegation則顯示它是唯一一個承諾抵押數和實際抵押數幾乎一致的節點，看來真的是誠意滿滿，才吸引了這么多委托人的支持。[2019/5/20]

準備階段:

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

在UBT代幣合約中，有兩個惡意的函數實現：

1.在"transferFrom()"函數中，攻擊者實現了對MasterChef的"deposit()"函數的調用，以存入LP代幣。

2.一個"withdrawAsset()"函數，將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣，并收到155,935枚LP代幣作為回報。

然后，攻擊者調用"depositByAddLiquidity()"函數，將LP代幣存入資金池。

1.在調用此函數時：輸入參數“_pid”為18，“_tokens”為。

2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約）。

最后，攻擊者提取了兩次:

1.第一次是通過函數“UBT.withdrawAsset()”。

2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后，攻擊者刪除了流動資金并返還了閃電貸。

合約漏洞分析

在函數`MasterChef.depositByAddLiquidity()`中，作為參數傳入的`_tokens`可以與池中的編號為`_pid`的tokens不匹配。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數，觸發了傳入惡意代幣的“transferFrom”函數，進而導致了重入的問題。因此，同一份LP代幣被存入兩次。

資產去向

截至3月13日，總共有價值約170萬美元的資產被盜。3000個BNB仍然在攻擊者在BSC的地址中，235個ETHs則通過Birdge轉移到以太坊，并通過Tornado進行洗白。

寫在最后

該次事件可通過安全審計發現相關風險：審計可以發現重入問題和外部依賴問題。

同時，CertiK的安全專家建議：

時刻關注函數的外部輸入，盡量避免傳入合約地址作為參數。

關注外部調用，為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags：PARQUOSPAPARKParty DogQUO價格SPACE幣autopark

火星幣