BTC/HKD+2.3%
ETH/HKD+0.35%
LTC/HKD+4.19%
DOT/HKD-3.94%
ADA/HKD-6.36%
SOL/HKD+1.72%
XRP/HKD-0.09%
DOGE/US-1.42%北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。
下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。
合約地址
Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code
Web3時尚和生活方式平臺Yoloyolo完成350萬美元種子輪融資,ParaFi Capital參投:金色財經報道,Web3 時尚和生活方式平臺 Yoloyolo 宣布完成 350 萬美元種子輪融資,ParaFi Capital、Mirana Ventures 和 Morningstar Ventures、Avalanche Ventures、UOB Ventures、Signum Capital、Genblock、Yolo Investments、以及軟銀愿景基金的 Neil Cunha-Gomes 和前幣安合伙人 Nicole Zhang 參投。Yoloyolo 是一個將 NFT 所有者與品牌聯系起來以銷售合作商品的新平臺, 把頂級 NFT 知識產權 (IP) 持有者與時尚和生活方式行業的品牌和創作者聯系起來,預計將于 2023 年 3 月推出 alpha 版。(coindesk)[2022/10/17 17:29:22]
攻擊者部署了兩個惡意的代幣合約UGT和UBT。
Phantom獲得1.09億美元融資 Paradigm領投:金色財經報道,以Solana為中心的加密錢包Phantom在Paradigm領投的B輪融資中籌集了1.09億美元,這輪融資使該項目的估值達到12億美元。據悉, Phantom 錢包使Solana交易者能夠與去中心化金融 ( DeFi ) 協議和不可替代代幣 ( NFT ) 進行交互。(decrypt)[2022/2/1 9:25:12]
在UBT代幣合約中,有兩個惡意的函數實現:
????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。
Virunga National Park開始接受加密貨幣捐款:據u.today消息,非洲最古老的國家公園 Virunga National Park現在接受比特幣,以太坊,萊特幣,Chainlink和其他代幣作為捐贈。Virunga National Park 致力于拯救其極度瀕危的山地大猩猩,建設綠色能源以及其他目標。[2021/5/1 21:15:16]
????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。
攻擊階段:
攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。
攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。
然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。
???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。
????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。
???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。
最后,攻擊者提取了兩次:
???????1.?第一次是通過函數“UBT.withdrawAsset()”。
???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。
`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。
BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。
時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。
關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
關於Gate.ioStartup免費空投計劃爲回饋平臺用戶,Gate.io上線“免費空投計劃”,在Startup區不定期進行區塊鏈項目的免費空投計劃.
1900/1/1 0:00:00尊敬的用戶:?????????BKEX即將上線DUET,詳情如下:上線交易對:DUET/USDT??幣種類型:BEP20充值功能開放時間:已開放交易功能開放時間:2022年3月14日20:00提.
1900/1/1 0:00:00據Decrypt3月15日報道,以太坊聯合創始人、ConsenSys創始人兼首席執行官JoeLubin在CampEthereal2022峰會上表示.
1900/1/1 0:00:00一、項目簡介 由Shiba和Dogecoin巨鯨用戶創建的第一個社區驅動的代幣,為了兩個社區的更大利益而聚集在一起.
1900/1/1 0:00:003月7日-3月13日一周時間內,明星項目進展中值得關注的事件有:BAYC母公司YugaLabs收購CryptoPunks和MeebitsIP和部分NFT;Avalanche基金會推出2.9億美元.
1900/1/1 0:00:00Adjustingtheshareratioforstrategycopyingisnowofficiallyavailableforinvestors.
1900/1/1 0:00:00
比特幣價格
