北京时间2023年7月18日,Ocean BNO遭受闪电贷攻击,攻击者已获利约50万美元。
SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。
攻击者地址:
0xa6566574edc60d7b2adbacedb71d5142cf2677fb
攻击合约:
0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd
21Shares与CoinGecko合作发布全球加密货币分类标准 (GCCS):4月3日消息,欧洲加密 ETP 发行商 21Shares 与 CoinGecko 合作发布全球加密货币分类标准 (GCCS)。该标准分别从协议层面和和token层面进行了分类。[2023/4/4 13:42:47]
被攻击合约:
0xdCA503449899d5649D32175a255A8835A03E4006
攻击交易:
0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9
攻击流程:
前FTX工程总监Nishad Singh 370万美元度假屋遭美国政府没收:3月10日消息,前FTX工程总监Nishad Singh去年10月在圣胡安群岛购买价值370万美元的度假屋,现已被美国政府没收。
此前报道,3月1日,前FTX工程总监Nishad Singh对美国刑事指控认罪。Alameda首席执行官Caroline Ellison和FTX首席技术官Gary Wang分别承认了七项和四项刑事指控。[2023/3/10 12:54:25]
(1)攻击者(0xa6566574)通过pancakeSwap闪电贷借取286449 枚BNO。
Coin Shares:2021年末加密投资大规模撤资开始逆转:2月15日消息,据CoinShares周一公布的数据显示,数字资产投资产品上周累计流入价值7530万美元,比特币投资产品有价值2510万美元的资金流入,而以太坊相关产品有2090万美元的资金流入。此外,据数据显示,数字资产投资产品流入资金已实现连续四周的上升,这表明2021年末的大规模撤资开始逆转。在过去四周里,加密货币基金共吸引了2.09亿美元。(Cointelegraph)[2022/2/15 9:53:35]
(2)随后调用被攻击合约(0xdCA50344)的stakeNft函数质押两个nft。
CoinShares:2021年比特币碳排放仅占全球碳排放量0.08%:金色财经报道,CoinShares 最新研究发现,比特币碳排放影响微乎其微,2021年全年比特币碳排放为41 兆吨,虽然高于2020年36兆吨,但仅占全球碳排放量的不到0.08%,因此CoinShares认为这一数字几乎是“无关紧要”(inconsequential)的,因为根据Galaxy Digital 2019 年估算数据显示整个金融系统碳排放量达到130公吨。另据CoinShares报告显示,哈萨克斯坦、美国蒙大拿州和肯塔基州以及加拿大阿尔伯塔省三地占到43%的比特币挖矿碳排放,而瑞典和加拿大北克省和马尼托巴省的碳排放量最低,几乎可以忽略不计。[2022/2/2 9:27:23]
(3)接着调用被攻击合约(0xdCA50344)的pledge函数质押277856枚BNO币。
(4)调用被攻击合约(0xdCA50344)的emergencyWithdraw函数提取回全部的BNO
(5)然后调用被攻击合约(0xdCA50344)的unstakeNft函数,取回两个质押的nft并收到额外的BNO代币。
(6)循环上述过程,持续获得额外的BNO代币
(7)最后归还闪电贷后将所有的BNO代币换成50.5W个BUSD后获利离场。
本次攻击的根本原因是:被攻击合约(0xdCA50344)中的奖励计算机制和紧急提取函数的交互逻辑出现问题,导致用户在提取本金后可以得到一笔额外的奖励代币。
合约提供emergencyWithdraw函数用于紧急提取代币,并清除了攻击者的allstake总抵押量和rewardDebt总债务量,但并没有清除攻击者的nftAddtion变量,而nftAddition变量也是通过allstake变量计算得到。
而在unstakeNft函数中仍然会计算出用户当前奖励,而在nftAddition变量没有被归零的情况下,pendingFit函数仍然会返回一个额外的BNO奖励值,导致攻击者获得额外的BNO代币。
针对本次攻击事件,我们在开发过程中应遵循以下注意事项:
(1)在进行奖励计算时,校验用户是否提取本金。
(2)项目上线前,需要向第三方专业的审计团队寻求技术帮助。
金色财经
金色荐读
Block unicorn
区块链骑士
金色财经 善欧巴
Foresight News
深潮TechFlow
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。