北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜。
下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。
合約地址
Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code
支付公司Paywiser利用ParallelChain區塊鏈進行KYC:Paywiser選定Digital Transaction的ParallelChain區塊鏈來為進行KYC和業務運營。Paywiser是一家全球支付解決方案公司,在亞洲、歐洲和英國設有辦事處。Paywiser將在ParallelChain上部署eKYC-Chain,對申請人執行KYC驗證,同時也降低了欺詐活動的潛在風險。ParallelChain還將支持Paywiser業務運營的多個領域,包括發卡、登錄服務和合規審查增強等。(The Fintech Times)[2021/2/11 19:30:47]
攻擊者部署了兩個惡意的代幣合約UGT和UBT。
動態 | Parity與ZCash合作開發新ZEC區塊鏈客戶端節點:據bitcoinexchangeguide報道,區塊鏈基礎設施公司Parity technologies宣布與ZCash(ZEC)達成合作,兩者將合作為ZEC區塊鏈建立一個替代客戶端節點。[2019/3/21]
在UBT代幣合約中,有兩個惡意的函數實現:
????1.在"transferFrom()"函數中,攻擊者實現了對MasterChef的"deposit()"函數的調用,以存入LP代幣。
成人電影明星Brenna Sparks)討論了用比特幣改造性產業的問題:成人影星Brenna Sparks在接受媒體采訪時表示,她是比特幣技術的忠實信徒,未來某一天,比特幣將徹底改變整個成人行業。此外,斯帕克斯計劃拍攝一些關于如何使用比特幣等加密貨幣的教程。[2018/6/2]
????2.一個"withdrawAsset()"函數,將調用Masterchef的"withdraw()"來提取存入的LP代幣。
攻擊階段:
攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。
攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣,并收到155,935枚LP代幣作為回報。
然后,攻擊者調用"depositByAddLiquidity()"函數,將LP代幣存入資金池。
???????1.在調用此函數時:輸入參數“_pid”為18,“_tokens”為。
????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。
???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約)。
最后,攻擊者提取了兩次:
???????1.?第一次是通過函數“UBT.withdrawAsset()”。
???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后,攻擊者刪除了流動資金并返還了閃電貸。
`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數,觸發了傳入惡意代幣的“transferFrom”函數,進而導致了重入的問題。因此,同一份LP代幣被存入兩次。
BNB仍然在攻擊者在BSC的地址中,235個ETHs則通過Birdge轉移到以太坊,并通過Tornado進行洗白。
時刻關注函數的外部輸入,盡量避免傳入合約地址作為參數。
關注外部調用,為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。
本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。
除此之外,CertiK官網https://www.certik.com/已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
Tags:PARTERRCHMASTPARADOXA Hunters DreaminterstellarchainBeast Masters
尊敬的中幣用戶: ???Ontology(ONT)網絡升級已完成,中幣現已開放ONT的充值和提幣業務.
1900/1/1 0:00:003月12日上午,一則重量級新聞瞬間引爆了整個NFT圈子。7:00左右,YugaLabs與LarvaLabs聯合發布聲明稱,YugaLabs?已從LarvaLabs的手中收購了CryptoPunk.
1900/1/1 0:00:003月13日消息,愛沙尼亞正準備實施一套新的反洗錢規則,這將加強對在愛沙尼亞許可下運營的加密公司的要求。這些變化發生之際,人們擔心俄羅斯可能利用加密貨幣逃避西方制裁.
1900/1/1 0:00:00原文作者:茉莉 不出意外,美聯儲預計將在3月17日發布利率決議,上調聯邦基準利率成為大概率事件.
1900/1/1 0:00:00尊敬的AAX用戶: 為了回饋大家對猜漲跌的支持,AAX現在開啟第四期猜漲跌活動,最低1USDT投注,使用AAB下單結算收益加成5%,本次活動發放20000USDT獎金池.
1900/1/1 0:00:00尊敬的XT.COM用戶:因CELO節點升級已完成,XT.COM現已恢復CELO充提業務。給您帶來的不便,請您諒解!越南風投公司NextTech推出5000萬美元區塊鏈基金:11月16日消息,越南.
1900/1/1 0:00:00