宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Luna > 正文

合约漏洞:pNetwork被黑事件分析

作者:

时间:1900/1/1 0:00:00

合约漏洞:pNetwork被黑事件分析

北京时间9月20日凌晨,pNetwork跨链项目遭到黑客攻击,黑客利用BSC上pBTC的代码漏洞,窃取了277枚BTC,损失价值高达1270万美元。?

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

0xDAO:感谢Cobo团队发现其合约漏洞:3月31日消息,Fantom生态DeFi协议0xDAO发推表示,感谢Cobo的安全团队和联合创始人神鱼发现其合约的重大安全漏洞。Cobo回应称,Cobo自成立以来始终秉承安全至上的原则,协同行业的各方力量构建安全环境,为行业贡献力量。[2022/3/31 14:29:46]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

Armor.Fi CTO与Immunefi合作提供智能合约漏洞赏金:DeFi保险协议Armor.Fi首席技术官Robert Forster正与智能合约漏洞赏金平台Immunefi合作,向任何能在以太坊生态系统项目中找到关键智能合约漏洞的人提供价值32万美元的奖金。R Bounty计划旨在鼓励负责任地披露关键漏洞。Robert将以个人身份发放Armor代币奖励。(The Defiant)[2021/2/21 17:36:50]

以其中一笔交易进行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中,并在攻击完成后调用selfdestruct()函数销毁合约,使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知,攻击者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

动态 | 去中心化交易所AirSwap出现智能合约漏洞 目前已修复:据theblockcrypto报道,以太坊去中心化交易所AirSwap称,发现一个智能合约漏洞,该漏洞允许攻击者直接进行代币交易,而无需对手方确认。据AirSwap团队称,该漏洞仅在其系统中出现不到24小时,其中10个账户被确定为“有风险”。确定漏洞后,AirSwap团队进行回滚处理,并联系相应用户进行补救措施。[2019/9/15]

分析 | 以太坊推迟升级因为合约漏洞并非新提案 目前没有损失:据MyCrypto报道,有消息称EIP1283提案是这次升级推迟的原因,但其实这个提案本身没有问题,只是因为这个提案暴露了一些智能合约的漏洞。另外,在审查这个提案的时候,通过了EIP、Geth、Parity ,但是问题是发生在现有链上的智能合约,所以没审查出来。最后该文章强调,现在没有任何人因为该漏洞产生损失。[2019/1/16]

随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin,这是跨链攻击中重要的环节。

以其中的一个比特币地址查询,可查到相同数量的bitcoin到账。

通过pToken的介绍可知,跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量,并没有进行其他的检查!使得黑客利用这一漏洞,在BSC上触发多次redeem事件,窃取大量的BTC。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

标签:EFIEDEREDBTCDeFi Fireflyeden币为什么失败Redux ProtocolIBTCV

Luna热门资讯
区块链初创公司Moonstake加入IBM创业孵化器计划

据Cryptoninjas消息,9月24日,质押池提供商Moonstake宣布加入IBMHyperProtectAccelerator.

1900/1/1 0:00:00
无锡发布加快区块链技术应用和产业发展实施意见

据网信无锡微信公众号消息,近日,无锡市现代产业发展领导小组办公室下发了《关于印发<无锡市关于加快区块链技术应用和产业发展的实施意见>的通知》.

1900/1/1 0:00:00
西班牙银行巨头BBVA瑞士分行推出数字投资账户New Gen,允许存储买卖加密货币

巴比特讯,9月2日,西班牙银行巨头BBVA旗下专门从事私人银行业务的瑞士分行宣布推出新的100%数字投资账户NewGen,其中包含加密货币钱包,可存储和买卖加密货币.

1900/1/1 0:00:00
以太坊日均手续费达比特币67倍,NFT抢购潮推高Gas均价

PAData9月6日消息,根据CryptoFees统计的各公链交易手续费数据,最近7天以太坊日均交易手续费约为4931.75万美元,居所有公链之首,大约是同期BSC交易手续费的15.33倍,是同期比特币交易手续费的67.04倍.

1900/1/1 0:00:00
OpenSea高管利用“老鼠仓”不当获利,吃瓜网友“链上开扒”

NFT行业也有瓜吃了。 北京时间9月15日,推特用户Zuwu发推指责OpenSea产品负责人NateChastain?利用“老鼠仓”不当获利.

1900/1/1 0:00:00
跨Rollup转账应用Hop Protocol已支持L2扩容方案Arbitrum

巴比特讯,9月17日,跨Rollup转账应用HopProtocol已支持L2扩容方案Arbitrum,目前仅支持USDT与USDC转账,将在下周开放对ETH的支持.

1900/1/1 0:00:00