EDE:合约漏洞：pNetwork被黑事件分析

合约漏洞：pNetwork被黑事件分析

北京时间9月20日凌晨，pNetwork跨链项目遭到黑客攻击，黑客利用BSC上pBTC的代码漏洞，窃取了277枚BTC，损失价值高达1270万美元。?

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

Force DAO官方：已了解xFORCE合约漏洞，将公布后续行动:官方消息，DeFi量化对冲基金Force DAO表示，团队了解xFORCE合约漏洞，并确定了问题的本质。xFORCE合约上没有更多的资金可供利用。所有其他的资金库都是安全的。团队将在未来几个小时内提供报告和下一步行动。[2021/4/4 19:45:29]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

SIL Finance合约漏洞事件更新：已追回1215万美元，所有资金安全:DeFi聚合理财服务SIL.Finance发文称，在发现智能合约因存在高危漏洞而无法提现后，经过多方36小时的努力，已经成功追回1215万美元，并保存在一个由团队控制的多签钱包地址中：0xca8A05c084B18bdb0c58ca85a39eCEB30Fb5f78e。CertiK正在审计其智能合约，在此感谢DODO和慢雾科技的帮助。官方称已经确定了导致此次故障的根本原因，并完成了对故障影响的分析。团队将很快发布详细事后分析。目前所有资金都是安全的。据称，此次事件是由智能合约权限漏洞引起的，该漏洞继而触发了一个通用抢先交易机器人提交一系列交易以获利。

此前消息，SIL.Finance表示，若在此事件中任何用户资产受损，团队决定使用自有资金推出补偿计划：遭受损失的所有用户将获得2倍补偿，将以SIL发放。[2021/3/20 19:03:54]

以其中一笔交易进行分析：https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中，并在攻击完成后调用selfdestruct()函数销毁合约，使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知，攻击者首先以amount:0，userData:0x，underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

分析 | 以太坊推迟升级因为合约漏洞并非新提案 目前没有损失:据MyCrypto报道，有消息称EIP1283提案是这次升级推迟的原因，但其实这个提案本身没有问题，只是因为这个提案暴露了一些智能合约的漏洞。另外，在审查这个提案的时候，通过了EIP、Geth、Parity ，但是问题是发生在现有链上的智能合约，所以没审查出来。最后该文章强调，现在没有任何人因为该漏洞产生损失。[2019/1/16]

动态 | 黑客利用EOS智能合约漏洞从应用EOSBet中窃取20万美元:据thenextweb消息，黑客利用EOSBet智能合同中的漏洞，从其运营钱包中窃取了4万EOS(约20万美元)。EOSBet的一位发言人表示：“几个小时前，我们被攻击了，大约有40000个EOS从我们的资金中被窃取。这个bug并不像之前说的那样轻微，我们还在做取证工作，把发生的事情拼凑起来。”[2018/9/14]

随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin，这是跨链攻击中重要的环节。

以其中的一个比特币地址查询，可查到相同数量的bitcoin到账。

通过pToken的介绍可知，跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量，并没有进行其他的检查！使得黑客利用这一漏洞，在BSC上触发多次redeem事件，窃取大量的BTC。

二、安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

标签：EOSEDEORCFORCELEOSSquidGameDeFiMoonForcedForce

比特币交易热门资讯