合约漏洞：pNetwork被黑事件分析

合约漏洞：pNetwork被黑事件分析

北京时间9月20日凌晨，pNetwork跨链项目遭到黑客攻击，黑客利用BSC上pBTC的代码漏洞，窃取了277枚BTC，损失价值高达1270万美元。?

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

0xDAO：感谢Cobo团队发现其合约漏洞:3月31日消息，Fantom生态DeFi协议0xDAO发推表示，感谢Cobo的安全团队和联合创始人神鱼发现其合约的重大安全漏洞。Cobo回应称，Cobo自成立以来始终秉承安全至上的原则，协同行业的各方力量构建安全环境，为行业贡献力量。[2022/3/31 14:29:46]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

Armor.Fi CTO与Immunefi合作提供智能合约漏洞赏金:DeFi保险协议Armor.Fi首席技术官Robert Forster正与智能合约漏洞赏金平台Immunefi合作，向任何能在以太坊生态系统项目中找到关键智能合约漏洞的人提供价值32万美元的奖金。R Bounty计划旨在鼓励负责任地披露关键漏洞。Robert将以个人身份发放Armor代币奖励。（The Defiant）[2021/2/21 17:36:50]

以其中一笔交易进行分析：https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中，并在攻击完成后调用selfdestruct()函数销毁合约，使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知，攻击者首先以amount:0，userData:0x，underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

动态 | 去中心化交易所AirSwap出现智能合约漏洞 目前已修复:据theblockcrypto报道，以太坊去中心化交易所AirSwap称，发现一个智能合约漏洞，该漏洞允许攻击者直接进行代币交易，而无需对手方确认。据AirSwap团队称，该漏洞仅在其系统中出现不到24小时，其中10个账户被确定为“有风险”。确定漏洞后，AirSwap团队进行回滚处理，并联系相应用户进行补救措施。[2019/9/15]

分析 | 以太坊推迟升级因为合约漏洞并非新提案 目前没有损失:据MyCrypto报道，有消息称EIP1283提案是这次升级推迟的原因，但其实这个提案本身没有问题，只是因为这个提案暴露了一些智能合约的漏洞。另外，在审查这个提案的时候，通过了EIP、Geth、Parity ，但是问题是发生在现有链上的智能合约，所以没审查出来。最后该文章强调，现在没有任何人因为该漏洞产生损失。[2019/1/16]

随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin，这是跨链攻击中重要的环节。

以其中的一个比特币地址查询，可查到相同数量的bitcoin到账。

通过pToken的介绍可知，跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量，并没有进行其他的检查！使得黑客利用这一漏洞，在BSC上触发多次redeem事件，窃取大量的BTC。

二、安全建议

SharkTeam提醒您，在涉足区块链项目时请提高警惕，选择更稳定、更安全，且经过完备多轮审计的公链和项目，切不可将您的资产置于风险之中，沦为黑客的提款机。

标签：EFIEDEREDBTCDeFi Fireflyeden币为什么失败Redux ProtocolIBTCV

Luna热门资讯