合约漏洞:pNetwork被黑事件分析
北京时间9月20日凌晨,pNetwork跨链项目遭到黑客攻击,黑客利用BSC上pBTC的代码漏洞,窃取了277枚BTC,损失价值高达1270万美元。?
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
Nifty Gateway:NFT艺术家Pak的Merge NFT项目合约漏洞已修复:12月11日消息,NFT 市场 Nifty Gateway 在社交媒体发文表示,已经与 NFT 艺术家 Pak 解决所有发现的 Merge NFT 项目合约问题,联合 Trail of Bits 进行审计并在周末将其锁定,将在下周一发布更新信息。[2021/12/12 7:33:26]
一、事件分析
https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934
SIL.Finance回应合约漏洞事件:所有遭受损失的用户将获得2倍补偿:DeFi聚合理财服务SIL.Finance称,3月19日0:00启动时遇到使用问题,团队发现情况后立即使用4/6多签开发钱包暂停SIL Master合约,存取功能已暂停。官方一直与慢雾合作进行详细调查。该问题的根本原因已基本圈定。确认问题后将立即向社区宣布。
团队将采取任何措施确保所有参与者资金的最大安全。若在此事件中任何用户资产受损,团队决定使用自有资金推出补偿计划:遭受损失的所有用户将获得2倍补偿,将以SIL发放。由于SIL以接近线性的方式铸造,补偿周期将持续6个月,每月19日8:00发布。金额基于特定月份SIL平均价格。若损失金额(事件发生时的快照)等于1000 USDT,则6个月内每月偿还166.6 USDT,相当于2000 USDT的SIL。第一次补偿的执行时间为4月19日8:00。SIL团队将与所有可联系的各方合作,帮助弥补损失。如果在“首次补偿执行时间”之前追回损失,将返还给原用户,补偿计划终止。如果损失在第一次执行时间后被追回,则补偿计划将正常执行,收回的金额将用于在市场上回购SIL,并重新供应到总矿池。存取暂停期间的挖矿利润(SIL)仍然有效,属于用户。[2021/3/20 19:02:59]
动态 | 去中心化交易所AirSwap出现智能合约漏洞 目前已修复:据theblockcrypto报道,以太坊去中心化交易所AirSwap称,发现一个智能合约漏洞,该漏洞允许攻击者直接进行代币交易,而无需对手方确认。据AirSwap团队称,该漏洞仅在其系统中出现不到24小时,其中10个账户被确定为“有风险”。确定漏洞后,AirSwap团队进行回滚处理,并联系相应用户进行补救措施。[2019/9/15]
以其中一笔交易进行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中,并在攻击完成后调用selfdestruct()函数销毁合约,使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知,攻击者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。
随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。
触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin,这是跨链攻击中重要的环节。
以其中的一个比特币地址查询,可查到相同数量的bitcoin到账。
通过pToken的介绍可知,跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量,并没有进行其他的检查!使得黑客利用这一漏洞,在BSC上触发多次redeem事件,窃取大量的BTC。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。