以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > Uniswap > Info

SharkTeam:BNO攻擊事件原理分析_SHA

Author:

Time:1900/1/1 0:00:00

北京時間2023年7月18日,Ocean BNO遭受閃電貸攻擊,攻擊者已獲利約50萬美元。

SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。

攻擊者地址:

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻擊合約:

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

澳洲電信巨頭TPG接班人與22歲NFT投資者Ishan Haque聯合推出5000萬美元元宇宙基金:1月5日消息,澳洲電信服務提供商TPG接班人Jack Teoh與個人投資者Ishan Haque合作推出5000萬美元元宇宙基金Geminio Capital,旨在投資元宇宙、GameFi游戲等。Axie Infinity的種子投資者Sherwin Lee,ASX 200成分公司如Aristocrat和WiseTech Global等上市公司董事Arlene Tansey擔任基金顧問。

據了解,Jack Teoh也是Animoca Brands的投資人,同時也是個NFT巨鯨。Haque是一位來自澳大利亞投資者年僅22歲,在其18歲時,Haque購買了價值2500美元的Animoca股票,當他聽說Animoca Brands退市的消息時,他開始尋找所有他能想到的投資者,詢問他是否可以購買他們的股票。最終,他以平均7美分左右的價格收購了200萬股股票,并獲得超百倍收益,資產在不到1年時間內從10萬美元漲至1000萬美元以上。(PANews )[2022/1/5 8:26:52]

被攻擊合約:

BetaShares的新加密ETF上市前15分鐘打破了ASX記錄:11月5日消息,澳大利亞基金管理公司BetaShares的新加密ETF上市的前15分鐘就打破了澳大利亞證券交易所(ASX)的記錄,澳大利亞加密投資平臺Zerocap Ryan McCall的首席執行官對此表示說:“鑒于澳大利亞過去一年對加密貨幣的‘胃口’,能有這樣的記錄并不令人意外,澳大利亞的現貨比特幣ETF并不遙遠,其次是以太坊和其他潛在的加密貨幣。”(Cointelegraph)[2021/11/5 6:33:29]

0xdCA503449899d5649D32175a255A8835A03E4006

攻擊交易:

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

21Shares通過北歐銀行向瑞典和斯堪的納維亞投資者提供比特幣ETP產品:加密交易所交易產品(ETP)發行商21Shares AG正通過北歐銀行(Nordnet Bank)的數字儲蓄和投資平臺,向瑞典和斯堪的納維亞投資者提供其產品。截至上周,Xetra批準上線的21Shares兩個產品已在Nordnet平臺上提供,允許投資者獲得更透明、更具成本效益的比特幣產品。

憑借21Shares Bitcoin和Short Bitcoin ETP,21Shares正在為進一步擴張鋪平道路,并致力于為已經建立起來的社區提供最高質量的產品。據稱,這是斯堪的納維亞投資者第一次能夠利用此類產品獲利。

據此前報道,中歐最大的證券交易所之一維也納證券交易所(Wiener B?rse)上線首個針對比特幣和以太坊的交易所交易產品(ETP)。據悉,該單資產產品由瑞士金融科技公司21Shares發行,交易代碼為ABTC。此外,在8月底,21Shares于德國證券交易所Xetra推出集中清算的看空比特幣ETP(SBTC)。(Globe Newswire)[2020/9/21]

攻擊流程:

動態 | ShapeShift解決了KeepKey硬件錢包的漏洞報告:據cointelegraph消息,加密貨幣互換和硬件錢包生產商ShapeShift解決了最近有關KeepKey硬件錢包漏洞的問題。ShapeShift指出,“漏洞”是不切實際的。攻擊者需要物理專用訪問設備,硬件技能和數據統計分析,以獲得僅根據屏幕能耗顯示的內容。此外,他指出,即使滿足所有這些要求,解釋數據仍然非常困難。[2019/8/8]

(1)攻擊者(0xa6566574)通過pancakeSwap閃電貸借取286449 枚BNO。

(2)隨后調用被攻擊合約(0xdCA50344)的stakeNft函數質押兩個nft。

(3)接著調用被攻擊合約(0xdCA50344)的pledge函數質押277856枚BNO幣。

(4)調用被攻擊合約(0xdCA50344)的emergencyWithdraw函數提取回全部的BNO

(5)然后調用被攻擊合約(0xdCA50344)的unstakeNft函數,取回兩個質押的nft并收到額外的BNO代幣。

(6)循環上述過程,持續獲得額外的BNO代幣

(7)最后歸還閃電貸后將所有的BNO代幣換成50.5W個BUSD后獲利離場。

本次攻擊的根本原因是:被攻擊合約(0xdCA50344)中的獎勵計算機制和緊急提取函數的交互邏輯出現問題,導致用戶在提取本金后可以得到一筆額外的獎勵代幣。

合約提供emergencyWithdraw函數用于緊急提取代幣,并清除了攻擊者的allstake總抵押量和rewardDebt總債務量,但并沒有清除攻擊者的nftAddtion變量,而nftAddition變量也是通過allstake變量計算得到。

而在unstakeNft函數中仍然會計算出用戶當前獎勵,而在nftAddition變量沒有被歸零的情況下,pendingFit函數仍然會返回一個額外的BNO獎勵值,導致攻擊者獲得額外的BNO代幣。

針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:

(1)在進行獎勵計算時,校驗用戶是否提取本金。

(2)項目上線前,需要向第三方專業的審計團隊尋求技術幫助。

金色財經

金色薦讀

Block unicorn

區塊鏈騎士

金色財經 善歐巴

Foresight News

深潮TechFlow

Tags:SHARESNFTHAREradioshack幣暴Mirrored ProShares VIXFirst Ever NFTHare Chain

Uniswap
金色早報 | 歐盟加密資產市場法(MiCA)正式在歐盟官方公報發布_比特幣

▌ 歐盟加密資產市場法(MiCA)正式在歐盟官方公報發布6月9日消息,歐盟加密資產市場法(MiCA)正式在歐盟官方公報 (OJEU) 上發布.

1900/1/1 0:00:00
從Multichain事件看MPC錢包的正確管理方式_HAI

作者:新火科技資深研究員Loki一、Multichain事件背后暴露了MPC錢包管理的哪些問題?7月14日,Multichain 發推稱.

1900/1/1 0:00:00
訂單簿原生鏈先驅Injective_INJ

作者:Yilan,LD Capital提及DEX,大多數人會立刻聯想到AMM,AMM非常有用,是關鍵的DeFi原始機制.

1900/1/1 0:00:00
監管壓力致資金流入放緩 以太質押率接近關鍵里程碑_LOCK

作者:Krisztian Sandor,CoinDesk;編譯:松雪,金色財經以太坊 (ETH) 質押已接近一個關鍵里程碑,即所有代幣中有 20% 被鎖定在質押合約中.

1900/1/1 0:00:00
Starknet改進語法全解讀_OWN

Cairo 編譯器的第 2 版對 Starknet 語法進行了更改,使代碼更加明確和安全。智能合約公共接口是使用特征定義的,并且對存儲的訪問是通過 ContractState 特征完成的.

1900/1/1 0:00:00
關于元宇宙的 5 大誤解_元宇宙

作者:Bernard Marr,Forbes;編譯:松雪,金色財經元宇宙是一個巨大的在線游戲——它是虛擬現實 (VR)——它是區塊鏈.

1900/1/1 0:00:00
ads