SHA:SharkTeam：BNO攻击事件原理分析

北京时间2023年7月18日，Ocean BNO遭受闪电贷攻击，攻击者已获利约50万美元。

SharkTeam对此事件第一时间进行了技术分析，并总结了安全防范手段，希望后续项目可以引以为戒，共筑区块链行业的安全防线。

攻击者地址：

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻击合约：

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

2022年美国参议院候选人Shannon Bray发推为Shiba Inu喊单:10月22日消息，2022年美国参议院候选人Shannon Bray发布了一条关于Shiba Inu的推文，称一旦SHIB重新回到0.00003美元区域，可能很快就会达到历史新高，几乎没有阻力。Bray还敦促SHIB社区“弄出一些动静”，以推动SHIB在周五以超过20%的涨幅收盘。注：Bray是自由党的参议员候选人。他曾在软件开发、信息安全和管理领域工作。（U.Today）[2021/10/22 20:49:34]

被攻击合约：

0xdCA503449899d5649D32175a255A8835A03E4006

攻击交易：

CoinShares CSO：比特币和加密货币的投资配比正在不断增加:CoinShares的CSO Meltem Demirors分析了第一季度创纪录的加密货币流入量，她表示，黄金ETP在过去两个季度中有200亿美元的流出，而加密货币ETP却有70亿美元的流入量。这说明比起黄金，投资者想要加密货币。此前消息，第一季度加密货币基金流入量创历史新高，达到45亿美元，打破了2020年第四季度39亿美元的季度记录。(CNBC)[2021/4/8 19:57:07]

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

攻击流程：

（1）攻击者（0xa6566574）通过pancakeSwap闪电贷借取286449 枚BNO。

声音 | Coinshares首席技术官：减半后BTC价格可能不会上涨:金色财经报道，Coinshares首席技术官Meltem Demirors今日连发数篇推文称，在减半后，BTC价格很有可能不会上涨。比特币首次出现了一个强大的衍生品(期货、期权)市场。大多数想要投机比特币的公司会交易一种衍生品，而不是比特币本身。其他商品市场研究的一个主题是如何定价。比特币可以说是一种数字商品。通常情况下，生产者决定商品的价格。当衍生品起飞时，生产者就失去了定价的权利。以过去20年石油市场的变化为例，衍生品主导了交易。大多数公司通过交易纸质合同来投机石油价格，市场是由投机驱动的。比特币越是成为一种可投资资产，价格就越与其价值及供求脱钩。比特币成为全球投机游戏中的又一潭死水。它变的“金融化”，变得与宏观市场相关。如今，比特币衍生品市场仍然很小，但该市场将迅速增长。[2019/12/25]

动态 | ShapeShift将在48小时内下市BSV:ShapeShift首席执行官Erik Voorhees刚刚发布推文称， 该交易所支持币安和赵长鹏的观点，决定在48小时内下市比特币SV（BSV）。此外，Kraken交易所也在考虑同样的举动，已在推特上发起调查。[2019/4/16]

（2）随后调用被攻击合约（0xdCA50344）的stakeNft函数质押两个nft。

（3）接着调用被攻击合约（0xdCA50344）的pledge函数质押277856枚BNO币。

（4）调用被攻击合约（0xdCA50344）的emergencyWithdraw函数提取回全部的BNO

（5）然后调用被攻击合约（0xdCA50344）的unstakeNft函数，取回两个质押的nft并收到额外的BNO代币。

（6）循环上述过程，持续获得额外的BNO代币

（7）最后归还闪电贷后将所有的BNO代币换成50.5W个BUSD后获利离场。

本次攻击的根本原因是：被攻击合约（0xdCA50344）中的奖励计算机制和紧急提取函数的交互逻辑出现问题，导致用户在提取本金后可以得到一笔额外的奖励代币。

合约提供emergencyWithdraw函数用于紧急提取代币，并清除了攻击者的allstake总抵押量和rewardDebt总债务量，但并没有清除攻击者的nftAddtion变量，而nftAddition变量也是通过allstake变量计算得到。

而在unstakeNft函数中仍然会计算出用户当前奖励，而在nftAddition变量没有被归零的情况下，pendingFit函数仍然会返回一个额外的BNO奖励值，导致攻击者获得额外的BNO代币。

针对本次攻击事件，我们在开发过程中应遵循以下注意事项：

（1）在进行奖励计算时，校验用户是否提取本金。

（2）项目上线前，需要向第三方专业的审计团队寻求技术帮助。

金色财经

金色荐读

Block unicorn

区块链骑士

金色财经 善欧巴

Foresight News

深潮TechFlow

标签：比特币SHANFTSHI杭州女子花300万买比特币yhhhYASHA价格ENERGY Vault (NFTX)Shih Tzu

Gateio热门资讯