比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > PEPE > Info

合約漏洞:pNetwork被黑事件分析_DODO

Author:

Time:1900/1/1 0:00:00

合約漏洞:pNetwork被黑事件分析

北京時間9月20日凌晨,pNetwork跨鏈項目遭到黑客攻擊,黑客利用BSC上pBTC的代碼漏洞,竊取了277枚BTC,損失價值高達1270萬美元。?

SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。

因涉嫌提交ChatGPT生成的漏洞報告,智能合約漏洞賞金平臺Immunefi封禁15名用戶:1月18日消息,智能合約漏洞賞金平臺 Immunefi 對 15 名用戶實施封禁,這些用戶涉嫌向平臺提交由人工智能工具 ChatGPT 生成的漏洞報告。 Immunefi 在社交媒體發文稱,白帽黑客應該使用自己的語言而不是人工智能語言工具來描述問題,也不能通過這種手段加快軟件 Bug 的處理解決速度。[2023/1/18 11:18:48]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

DODO因vDODO合約漏洞暫時禁用vDODO合約轉賬功能:10月21日消息,去中心化交易平臺DODO稱,近期一位白帽黑客向DODO團隊報告了vDODO合約中的一個漏洞,此漏洞可能被用來降低vDODO持有者的推薦質押權益,影響用戶的潛在質押收入,不過用戶擁有的vDODO資產不受影響。當前,DODO團隊暫時禁用了vDODO合約的轉賬功能,以規避攻擊活動,目前正在尋找解決方案。[2022/10/21 16:33:49]

一地址通過adidas NFT智能合約漏洞繞過限購搶到330個NFT,獲利約60萬美元:12月24日消息,據Sprise聯合創始人Montana Wong在推特上透露,雖然阿迪達斯此前設定adidas NFT銷售上限為每人最多2件,但有人利用漏洞繞過此限制在單次交易中購買了330個。

據悉,在銷售活動啟動之前幾個小時部署了一個新智能合約,該智能合約執行后可以生成165 個子智能合約,每個子智能合約能給分別從阿迪達斯的智能合約中鑄造2 個 NFT,然后再將它們轉移到創建者的主ETH 地址上。由于每個子智能合約都有一個唯一地址,因此創建者能夠繞過每人 2 個NFT銷售限制,將 NFT 發送到創建者的主地址后,子智能合約會自動銷毀。這個智能合約的創建者一共支付了 27.3 ETH的 gas 費用來執行相關交易,另外還支付了 66 ETH來購買adidas NFT,理論上目前該智能合約創建者已經獲利約60萬美元。[2021/12/24 8:02:33]

以其中一筆交易進行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整個攻擊寫在攻擊合約的構造函數中,并在攻擊完成后調用selfdestruct()函數銷毀合約,使得無法看到攻擊合約的細節內容。通過交易的事件并結合PToken合約源碼可知,攻擊者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作為輸入數據委托調用redeem函數。

隨后通過攻擊合約發送多個Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

觸發的redeem事件都是向攻擊者的多個比特幣地址轉賬相同數量1.38個左右的bitcoin,這是跨鏈攻擊中重要的環節。

以其中的一個比特幣地址查詢,可查到相同數量的bitcoin到賬。

通過pToken的介紹可知,跨鏈轉賬中只是通過查詢相關的deposit或redeem事件這種方式來確定btc的轉賬地址與數量,并沒有進行其他的檢查!使得黑客利用這一漏洞,在BSC上觸發多次redeem事件,竊取大量的BTC。

二、安全建議

SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。

Tags:DODDODONFTVDODODB幣DODO幣NFTC價格VDORA價格

PEPE
IBM、Oracle和Red Hat的專家如何看待區塊鏈技術對軟件行業的變革_RAC

?鏈集市?·讓區塊鏈落地更簡單 《區塊鏈行業觀察》專欄·第48?篇作者丨John?Rodriguez 圖片丨來源于網絡 雖然區塊鏈似乎包含了越來越多的場景,但在整個十年中.

1900/1/1 0:00:00
從IPFS的特性,看其與NFT浪潮如何結合_HTT

2021年見證了NFT的大爆發,NFT的核心價值主張是持久性(Permanence)和不可變性(Immutability)。然而,由于設計缺陷,市面上許多用于出售的NFT都做不到這兩點.

1900/1/1 0:00:00
當紐約市主要房產公司開始采用比特幣,會對行業帶來什么影響?_CRYPT

比特幣的采用情況正在上升,主要行業開始意識到Crypto是其不能忽視的事情。因此,主要的公司正在采取行動,采納Crypto支付.

1900/1/1 0:00:00
鰩觀鏈界 | 中國區塊鏈企業已超過1400家,產業園區超過40個_區塊鏈

l?本系列欄目旨在聚焦區塊鏈行業要聞的摘錄與洞察l?一周鏈上動向,一手即刻掌握l?部分圖文素材源自網絡;如有侵權.

1900/1/1 0:00:00
商業秘密保護與區塊鏈技術如何完美結合?_比特幣

鏈集市?·讓區塊鏈落地更簡單 《區塊鏈行業觀察》專欄·第54?篇作者丨R.MarkHalligan 圖片丨來源于網絡 使用“區塊鏈”一詞是大多數律師不理解的流行詞.

1900/1/1 0:00:00
Zabu Finance官方:攻擊者提取45億ZABU代幣,傾銷獲利約60萬美元_ABO

巴比特訊,9月12日,Avalanche鏈上ZabuFinance官方表示,攻擊者從ZabuFarmContract提取45億個ZABU代幣,使供應達到50億.

1900/1/1 0:00:00
ads