比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

SHA:SharkTeam:BNO攻擊事件原理分析_Lord of Dragons Reward Token

Author:

Time:1900/1/1 0:00:00

北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。

SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。

攻擊者地址:

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻擊合約:

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

以太坊Shapella升級后Kraken于昨日提取超過33萬ETH:金色財經報道,據Nansen數據,在以太坊Shapella升級后,Kraken于昨日提取超過330,000個ETH,還剩下175,000個,主要是本金提款。

此前報道,以太坊Shapella升級增加了取款功能,用戶可提取質押的ETH及相關收益。[2023/4/21 14:18:22]

被攻擊合約:

0xdCA503449899d5649D32175a255A8835A03E4006

攻擊交易:

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

安全團隊:ShadowFi未定義合理訪問控制,遭攻擊者利用:據官方消息,9月2日,HyperLab安全團隊在BSC鏈上檢測到ShadowFi Token貶值事件。攻擊者將10,354,936.721195451 SDF token銷毀,隨后將 8.461538282 SDF換成約合$30萬BNB資產。

團隊分析稱,從交易細節可得,攻擊者在交易中調用burnTokens()函數燒掉了SDF,而ShadowFi合約沒有實現權限驗證函數onlyOwner,設置burnTokens為public,導致被攻擊者利用,將代幣全部銷毀。項目方對于burn()這類函數, 沒有定義合理的訪問控制, 導致任意用戶都能調用這個合約, 從而造成不必要的損失。

據悉,Hyperlab圍繞數字錢包這一核心產品及其周邊服務,針對熱錢包安全、冷錢包安全、錢包服務器安全,以及錢包使用者安全等議題開展研究工作,為用戶和企業提供安全解決方案和服務。[2022/9/2 13:05:12]

攻擊流程:

NBA巨星沙奎爾·奧尼爾推特賬戶已更名為“SHAQ.SOL”:2 月 27 日消息,NBA 巨星沙奎爾·奧尼爾將其推特賬戶更名為“SHAQ.SOL”。

此前報道,沙奎爾·奧尼爾此前曾于 2021 年 12 月 23 日將其推特賬戶更名為“SHAQ.SOL”。[2022/2/28 10:19:30]

(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。

(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。

WhaleShark發推回應攻擊事件:大部分WHALE代幣安全:WhaleShark 發推回應稱,社區分發的 40%WHALE 代幣全部安全存放在冷錢包中,本次被攻擊的只是熱錢包,其中代幣量極小。[2021/3/14 18:44:04]

(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。

(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO

(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。

(6)循環上述過程,持續獲得額外的BNO代幣

(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。

本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。

合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。

而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。

針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:

(1)在進行獎勵計算時,校驗用戶是否提取本金。

(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。

金色財經

金色薦讀

Block unicorn

區塊鏈騎士

金色財經 善歐巴

Foresight News

深潮TechFlow

Tags:SHAKENNFTXDCBasisX ShareLord of Dragons Reward TokenKNFT價格XDC Network

火幣網下載官方app
TER:詐騙者劫持八個推特賬戶 竊取近100萬美元加密貨幣_chx幣怎么樣

編譯:深鏈DCNews 在過去的幾周里,詐騙者劫持了加密領域知名人士的八個Twitter帳戶,以進行網絡釣魚詐騙.

1900/1/1 0:00:00
NBS:Ether.fi與OpenSea的愛恨情仇:一場突發下架事件暴露的法律風險_ENS

Ether.Fi 項目方在本周二表示,OpenSea 已禁止對其需要抵押以太坊的 NFT 進行交易.

1900/1/1 0:00:00
人工智能:SEC主席將人工智能視為威脅還是福音?_DeFi Degen Land

作者:Rahul Nambiampurath,beincrypto 編譯:金色財經,善歐巴 摘要 美國證券交易委員會(SEC)主席加里·根斯勒(Gary Gensler)將人工智能視為與互聯網和.

1900/1/1 0:00:00
NFT:谷歌開閘 Google Play 允許區塊鏈游戲和NFT_GOO

經歷了2021年的爆發式增長之后,如今NFT幾乎已經淡出了業內熱門話題范圍,但這并不代表著區塊鏈游戲的銷聲匿跡.

1900/1/1 0:00:00
STA:被罵造假抄襲、拖欠薪資 Stability AI創始人Mostaque回擊媒體質疑_TAB

樹大招風,現在科技圈「最大的樹」,就是借著這波大語言模型而成為熱點的 AI 初創公司。OpenAI 之外,最熱的 AI 公司,當屬公司目前估值超過 10 億美元,是投資人最看好的 AI 團隊.

1900/1/1 0:00:00
GEN:一文讀懂a16z領投4300萬美元的AGI算力市場協議Gensyn_GenshinShibInu

作者:金色財經cryptonaitive2023年6月12日,基于區塊鏈的AGI算力市場協議Gensyn宣布完成4300萬美元A輪融資,a16z 領投.

1900/1/1 0:00:00
ads