宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 币赢 > 正文

SharkTeam:BNO攻击事件原理分析

作者:

时间:1900/1/1 0:00:00

北京时间2023年7月18日,Ocean BNO遭受闪电贷攻击,攻击者已获利约50万美元。

SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。

攻击者地址:

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻击合约:

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

非托管加密货币交易所ShapeShift完成第二次FOX空投:金色财经报道,作为其广泛的去中心化承诺的一部分,非托管加密货币交易所ShapeShift已完成其第二次FOX代币空投。ShapeShift周二宣布,空投的6,613,000 FOX代币已分发给超过33,000名DAO社区成员。这些持有人之前没有资格获得空投奖励,因为他们的代币被锁定在质押或流动性操作中。[2021/9/24 17:02:09]

被攻击合约:

0xdCA503449899d5649D32175a255A8835A03E4006

攻击交易:

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

泰国汇商银行旗下资产管理公司推出基于CoinShares区块链股票指数的基金:泰国汇商银行旗下SCB资产管理公司推出SCB Blockchain支线基金,用于投资基于CoinShares区块链股票指数的景顺Elwood全球区块链UCITS ETF。CoinShares是欧洲最大数字资产投资公司,前不久刚收购Elwood的股票指数业务。SCB是泰国最大资产管理公司。CoinShares CEO Jean-Marie Mognetti认为SCB推出这一基金是对该指数采取的严格方法及其长期表现的认可。(PR Newswire)[2021/8/18 22:21:49]

攻击流程:

(1)攻击者(0xa6566574)通过pancakeSwap闪电贷借取286449 枚BNO。

加密资产ETP发行商21Shares AG管理资产规模已超5亿美元:加密交易所交易产品(ETP)发行商21Shares AG管理资产规模已超过5亿美元。该发行商于2018年11月上市了其首个实物、完全抵押的加密货币篮子ETP,初始资产为500万美元,目前已积累了7700万美元的机构资金。

如今,21Shares拥有12种不同的产品,并在数个欧洲国家最大的合规证券交易所上市。(Globe Newswire)[2021/2/8 19:12:38]

(2)随后调用被攻击合约(0xdCA50344)的stakeNft函数质押两个nft。

声音 | Shawn Douglass:公开透明,防伪溯源等特性将使得加密货币越来越具有冲击力和爆发力:今日在日本大阪举行的Lightning Talks上, Amberdata 创始人Shawn Douglass表示,开放的信任系统、公开透明和防伪溯源以及激励机制等特性将使得加密货币越来越具有冲击力和爆发力。[2019/10/7]

(3)接着调用被攻击合约(0xdCA50344)的pledge函数质押277856枚BNO币。

(4)调用被攻击合约(0xdCA50344)的emergencyWithdraw函数提取回全部的BNO

(5)然后调用被攻击合约(0xdCA50344)的unstakeNft函数,取回两个质押的nft并收到额外的BNO代币。

(6)循环上述过程,持续获得额外的BNO代币

(7)最后归还闪电贷后将所有的BNO代币换成50.5W个BUSD后获利离场。

本次攻击的根本原因是:被攻击合约(0xdCA50344)中的奖励计算机制和紧急提取函数的交互逻辑出现问题,导致用户在提取本金后可以得到一笔额外的奖励代币。

合约提供emergencyWithdraw函数用于紧急提取代币,并清除了攻击者的allstake总抵押量和rewardDebt总债务量,但并没有清除攻击者的nftAddtion变量,而nftAddition变量也是通过allstake变量计算得到。

而在unstakeNft函数中仍然会计算出用户当前奖励,而在nftAddition变量没有被归零的情况下,pendingFit函数仍然会返回一个额外的BNO奖励值,导致攻击者获得额外的BNO代币。

针对本次攻击事件,我们在开发过程中应遵循以下注意事项:

(1)在进行奖励计算时,校验用户是否提取本金。

(2)项目上线前,需要向第三方专业的审计团队寻求技术帮助。

金色财经

金色荐读

Block unicorn

区块链骑士

金色财经 善欧巴

Foresight News

深潮TechFlow

标签:SHARESNFTHARESHAB币res币是不是真的Ftribe Fighters (F2 NFT)BSHARE

币赢热门资讯
首个共享Sequencer技术 在Polygon zkEVM测试网上线

作者:Bessie Liu 来源:blockworks 编译:善欧巴,金色财经区块链基础设施公司Espresso Systems发布了Espresso Sequencer的测试网版本,该版本基于Polygon zkEVM的分叉版本.

1900/1/1 0:00:00
虚拟资产无故被冻 如何解决?

核心提示 1.近期一起香港仲裁案例值得关注,某女士在香港某虚拟资产交易平台存有若干虚拟货币。一段时间后,该平台以该女士的财产涉嫌为由冻结其账户,并在该女士向平台做出相关解释的情况下仍不予解冻,目前该女士已经在香港发起仲裁.

1900/1/1 0:00:00
金色Web3.0日报 | 香港证监会正积极研究代币化的好处

DeFi数据 1、DeFi代币总市值:464.21亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量33.

1900/1/1 0:00:00
金色Web3.0日报 | DAI超越BUSD市值成为第三大稳定币

DeFi数据 1、DeFi代币总市值:418.38亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量32.65亿美元 金色财经挖矿数据播报:ETH今日全网算力下降2.

1900/1/1 0:00:00
者劫持八个推特账户 窃取近100万美元加密货币

编译:深链DCNews 在过去的几周里,者劫持了加密领域知名人士的八个Twitter帐户,以进行网络钓鱼。根据区块链侦探ZachXBT的说法,到目前为止,该组织已经窃取了价值近100万美元的加密货币.

1900/1/1 0:00:00
The Merge 后 以太坊的下一步是什么 ?

作者:JOEL JOHN、SAURABH;编译:QDD,Cointime.com我们一直在本通讯中追踪游戏、Web3 社交和支付基础设施。实现这些应用的部分原因是在协议层面上的改进。我们在之前的文章中介绍了一些改进,如账户抽象和序数.

1900/1/1 0:00:00