火星链 火星链
Ctrl+D收藏火星链

EDE:合约漏洞:pNetwork被黑事件分析

作者:

时间:1900/1/1 0:00:00

合约漏洞:pNetwork被黑事件分析

北京时间9月20日凌晨,pNetwork跨链项目遭到黑客攻击,黑客利用BSC上pBTC的代码漏洞,窃取了277枚BTC,损失价值高达1270万美元。?

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

Force DAO官方:已了解xFORCE合约漏洞,将公布后续行动:官方消息,DeFi量化对冲基金Force DAO表示,团队了解xFORCE合约漏洞,并确定了问题的本质。xFORCE合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。[2021/4/4 19:45:29]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

SIL Finance合约漏洞事件更新:已追回1215万美元,所有资金安全:DeFi聚合理财服务SIL.Finance发文称,在发现智能合约因存在高危漏洞而无法提现后,经过多方36小时的努力,已经成功追回1215万美元,并保存在一个由团队控制的多签钱包地址中:0xca8A05c084B18bdb0c58ca85a39eCEB30Fb5f78e。CertiK正在审计其智能合约,在此感谢DODO和慢雾科技的帮助。官方称已经确定了导致此次故障的根本原因,并完成了对故障影响的分析。团队将很快发布详细事后分析。目前所有资金都是安全的。据称,此次事件是由智能合约权限漏洞引起的,该漏洞继而触发了一个通用抢先交易机器人提交一系列交易以获利。

此前消息,SIL.Finance表示,若在此事件中任何用户资产受损,团队决定使用自有资金推出补偿计划:遭受损失的所有用户将获得2倍补偿,将以SIL发放。[2021/3/20 19:03:54]

以其中一笔交易进行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中,并在攻击完成后调用selfdestruct()函数销毁合约,使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知,攻击者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

分析 | 以太坊推迟升级因为合约漏洞并非新提案 目前没有损失:据MyCrypto报道,有消息称EIP1283提案是这次升级推迟的原因,但其实这个提案本身没有问题,只是因为这个提案暴露了一些智能合约的漏洞。另外,在审查这个提案的时候,通过了EIP、Geth、Parity ,但是问题是发生在现有链上的智能合约,所以没审查出来。最后该文章强调,现在没有任何人因为该漏洞产生损失。[2019/1/16]

动态 | 黑客利用EOS智能合约漏洞从应用EOSBet中窃取20万美元:据thenextweb消息,黑客利用EOSBet智能合同中的漏洞,从其运营钱包中窃取了4万EOS(约20万美元)。EOSBet的一位发言人表示:“几个小时前,我们被攻击了,大约有40000个EOS从我们的资金中被窃取。这个bug并不像之前说的那样轻微,我们还在做取证工作,把发生的事情拼凑起来。”[2018/9/14]

随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin,这是跨链攻击中重要的环节。

以其中的一个比特币地址查询,可查到相同数量的bitcoin到账。

通过pToken的介绍可知,跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量,并没有进行其他的检查!使得黑客利用这一漏洞,在BSC上触发多次redeem事件,窃取大量的BTC。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

标签:EOSEDEORCFORCELEOSSquidGameDeFiMoonForcedForce

比特币交易热门资讯
BAYC:NFT熊市已至,这篇投资心法你值得一看

原文作者:Zeneca_33不管你喜不喜欢,相不相信,我们现在正在经历NFT熊市。或者至少我可以说,过去几周是NFT的熊市。也许熊市已经结束,也许它才刚刚开始,没有人知道未来会怎样.

1900/1/1 0:00:00
ESH:研究:卡尔达诺和雪崩协议在开发者活动中呈现爆炸式增长

据DailyHodl报道,根据一项新研究,在过去一年中,智能合约平台Cardano(ADA)和Avalanche(AVAX)在其GitHub提交数量方面都出现了激增.

1900/1/1 0:00:00
BOO:早期风投公司NFX成立4.5亿美元基金,将支持加密、金融科技等领域的初创公司

福布斯10月5日消息,早期风投公司NFX今天宣布成立一只新的风投基金,这只4.5亿美元的基金将专注于加密货币以及金融科技、地产科技、市场、游戏和生物科技等新兴垂直领域.

1900/1/1 0:00:00
区块链:从“石油王国”到“区块链绿洲”,一文解读阿联酋所采取的举措

阿拉伯联合酋长国,简称“阿联酋”,是一个由阿布扎比、迪拜、沙迦、富查伊拉、乌姆盖万、阿治曼和哈伊马角这7个酋长国家组成的联邦国家.

1900/1/1 0:00:00
ERG:加密金融服务商Amber Group任命前高盛、摩根士丹利高管担任海外市场重要职务

据彭博社消息,加密金融服务独角兽企业AmberGroup正式宣布,已任命前高盛合伙人DimitriosKavvathas为首席战略官.

1900/1/1 0:00:00
WOOD:木头姐:比特币有望在5年内突破50万美元

据SportsGrindEntertainment9月14日报道,方舟资本创始人木头姐CathieWood周一在天桥资本举办的SALT会议上称比特币有望在5年内突破50万美元.

1900/1/1 0:00:00