Paraluni被攻擊事件分析：一張支票提款兩次的作案_XRP

北京時間2022年3月13日上午9:04，CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊，大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

MXC抹茶開啟SFG、CREED、JULb、xBTC、SPARTA充值上線專場:據官方公告，9月25日19:30-9月27日19:30，MXC抹茶推出新一期充值投票上線專場活動。本期考核項目為SFG（S.Finance）、CREED（Creed Finance）、JULb（JustLiquidity）、xBTC（XBTC）、SPARTA（Spartan Protocol）。考核期間，用戶充值上述任意考核幣種，充值人數不低于300人的項目或項目達到充值人數要求，MXC抹茶將會在完成技術對接后第一時間上線該項目。詳情請點擊原文鏈接。[2020/9/25]

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

動態 | XRParrot實現100萬歐元的XRP轉換額:XRParrot是荷蘭一家注冊非盈利企業，創始人Wietse Wind是XRP社區的主要開發人員之一，其目標是擴大Ripple的XRP采用。Wind表示，XRParrot的推出是為了讓擁有IBAN賬戶的歐洲人更容易購買XRP。據悉，XRParrot于2018年11月16日正式進入歐洲市場，當時它的Beta測試版剛剛推出。最近的更新顯示，該平臺在發布不到一年的時間里已經執行了超過100萬歐元（約111萬美元）的XRP轉換額。此前4月30日，XRParrot和XRP Tip Bot的創始人Wietse Wind宣布，XRParrot已完成50萬歐元的XRP轉換。自2018年11月該支付平臺上線，僅3天就實現了12.5萬枚XRP的總轉換額。（News Logical）[2019/10/30]

在UBT代幣合約中，有兩個惡意的函數實現：

聲音 | Chris Burniske：SEC關注的是“必須注冊證券”這項法定要求 而非Airfox和Paragon涉及欺詐:Placeholder VC合伙人Chris Burniske在社交媒體表示，表達此前美國SEC對加密貨幣初創公司CarrierEQ Inc.（也稱為Airfox）和Paragon Coin Inc.的處理發表看法稱，SEC關注的是“必須注冊證券”這項法定要求，而非兩家公司涉及欺詐。這兩起案件都沒有涉及任何形式的欺詐或虛假陳述，相反，美國證交會關注的是一項法定要求，即必須注冊證券，除非它們符合豁免條件。[2018/11/19]

????1.在"transferFrom()"函數中，攻擊者實現了對MasterChef的"deposit()"函數的調用，以存入LP代幣。

????2.一個"withdrawAsset()"函數，將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣，并收到155,935枚LP代幣作為回報。

然后，攻擊者調用"depositByAddLiquidity()"函數，將LP代幣存入資金池。

???????1.在調用此函數時：輸入參數“_pid”為18，“_tokens”為。

????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約）。

最后，攻擊者提取了兩次:

???????1.?第一次是通過函數“UBT.withdrawAsset()”。

???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后，攻擊者刪除了流動資金并返還了閃電貸。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數，觸發了傳入惡意代幣的“transferFrom”函數，進而導致了重入的問題。因此，同一份LP代幣被存入兩次。

BNB仍然在攻擊者在BSC的地址中，235個ETHs則通過Birdge轉移到以太坊，并通過Tornado進行洗白。

時刻關注函數的外部輸入，盡量避免傳入合約地址作為參數。

關注外部調用，為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags：XRPPARTERROTMXRP幣ParsiqTERRAFORMSafeMars Protocol

ETH