一.事件背景
8月17日,有消息爆出BSC上DeFi協議XSURGE遭到閃電貸攻擊,被盜金額價值500萬美金。知道創宇區塊鏈安全實驗室迅速展開分析。
二.攻擊合約及交易
攻擊合約地址:
0x1514AAA4dCF56c4Aa90da6a4ed19118E6800dc46
區塊鏈基礎設施提供商Aura Network推出Xstaxy主網:金色財經報道,區塊鏈基礎設施提供商Aura Network宣布Xstaxy主網將于世界標準時間 3 月 20 日 13:00 正式啟動。Aura Network通過將最新技術集成到 Xstaxy 主網中,旨在提供卓越的可擴展性、安全性和可靠性。[2023/3/21 13:15:54]
攻擊交易鏈接:
https://bscscan.com/tx/0x7e2a6ec08464e8e0118368cb933dc64ed9ce36445ecf9c49cacb970ea78531d2
FXStreet分析師:比特幣投資流入飆升,預計本周將推出另一比特幣ETF:10月19日消息,FXStreet分析師Sarah Tran表示,比特幣投資流入飆升,預計本周將推出另一比特幣ETF,首只比特幣ETF將于10月19日在紐約證交所開始交易。彭博分析師Balchunas預測另一個合約Valkyrie比特幣ETF可能會在本周晚些時候推出,該ETF上周已在納斯達克交易所獲得上市認證。首只比特幣ETF的批準導致加密貨幣市場看漲情緒的上升,數字資產投資產品上周流入8000萬美元。CoinShares報告稱,美國證交會最近批準比特幣ETF的決定可能會在未來幾周進一步推動大量資金流入,因為美國投資者開始增加頭寸。(金十)[2021/10/19 20:39:25]
三.事件復盤
UBOXSEA與北版科技達成業務合作:據官方消息,支持版權交易的多功能NFT平臺UBOXSEA已與北版科技(B&B TECH)正式達成業務合作,在原有的NFT特性之上,融入現實世界版權體系,豐富NFT使用場景。目前UBOXSEA已進入內測階段,預計將在兩周后正式開放公測,首輪公測將推出百幅已進行版權登記的圖片NFT,價值$100,000,且經過版權登記的圖片NFT受到保護,NFT收藏家可對違規使用該NFT的情況依法追究責任。[2021/7/29 1:22:50]
分析攻擊交易,攻擊者通過閃電貸借入BNB后購買surge代幣,然后不斷賣出再買入,最后套利離場,分析代幣源代碼可以發現,這次漏洞的原因是因為合約內的sell函數導致的重入漏洞。
sell函數計算完賣出代幣所值BNB數量后,合約會把BNB發送給攻擊合約,但是如果攻擊合約此時在回退函數中又執行了purchase函數,就會導致重入的發生。
觀察此次函數調用產生的影響,由于這是在sell函數中調用的purchase,所以totaslSupply還沒有銷毀掉sell的SurgeToken,導致totalSupply高于正常值,bnbAmount和prevBNBAmount的值會因為94%的手續費問題而有所變化,但也影響不大。
也就是說攻擊者通過買入-賣出-買入的操作,以更低的代幣價格獲取到了更多的surge代幣,值得一提的是因為sell函數中nonReentrant修飾函數的影響,攻擊合約只能重復之前的操作,也說明了防重入修飾函數不能完全解決這種偽重入問題,最好的方法還是限制call函數轉賬調用,用更安全的transfer函數限制轉賬gas消耗。
四.事件總結
最近鏈上安全事件頻繁發生,這次重入漏洞又造成了重大的經濟損失,我們建議各大項目方認真審視自身代碼,做好安全保障。同時官方發文稱將會盡量彌補受害者被盜資金,如有最新進展,我們將會及時跟進。
加入PolkaWorld社區,共建Web3.0! 本文是波卡的聯合創始人RobertHabermeier剛剛發布的關于Kusama首批平行鏈的網絡穩定性報告!在前5次平行鏈拍賣后.
1900/1/1 0:00:00提到以太坊,我們腦海中出現的第一個關鍵詞也許就是“gas費”。如今各大區塊鏈項目主網上線,所用的宣傳方向往往也離不開gas這個單詞.
1900/1/1 0:00:00亞馬遜年底接受比特幣支付的事情,被確認為假消息。昨天因為所謂的內部人員傳出亞馬遜年底將接受比特幣支付,市場走了一波不錯的行情,市場情緒也相當不錯,然而就在今天早上凌晨,該消息就被打臉.
1900/1/1 0:00:00真理是時間的函數 1962年,ThomasKhun發表了《科學革命的結構》。這本書適用于科學哲學,就像哥德爾不完備定理適用于數學哲學一樣.
1900/1/1 0:00:00往期“智能合約執行引擎的前世今生”、“熟悉的新朋友-鏈上JVM”中,我們介紹了智能合約的起源,以及自研的可以執行Java智能合約的執行引擎HVM.
1900/1/1 0:00:00比特幣究竟使用了多少能源?根據劍橋大學“第三次全球加密資產基準研究”的數據,我們可以推算出在2021年6月中國禁止比特幣挖礦和7月中國礦業外流發生之前.
1900/1/1 0:00:00