Paraluni攻擊事件分析_ARA

1.前言

北京時間2022年03月13日，知道創宇區塊鏈安全實驗室監測到BSC上Paraluni項目遭到攻擊，黑客獲利約170萬美金。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

2.分析

2.1基礎信息

攻擊者地址：0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f

攻擊者合約：0x4770b5cb9d51ecb7ad5b14f0d4f2cee8e5563645

攻擊交易哈希：0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

ParaX用戶遷移將于香港時間9月6日下午6點開始:金色財經報道，NFT借貸協議ParaSpace在其社交平臺X（原推特）上表示，ParaX的所有用戶遷移將于9月6日星期三上午10點UTC/下午6點（香港時間）開始。當開始遷移時，速率可能會隨著遷移過程的開始而開始波動。強烈建議用戶償還任何高息貸款，以免受到影響。

需要注意的是：遷移ERC-20資產時，請務必單擊“使用默認”支出上限以防止遷移失敗。

ParaX獎牌分配：為有助于穩定利率的頂級賬戶提供200個NFT；遷移的TVL和BNPL前1,000個賬戶的1,000個NFT（無時間限制，拍攝快照）；向未進入前1,000名但仍在第一周內遷移的賬戶發放800個NFT。[2023/9/6 13:20:46]

Masterchef合約：0xa386f30853a7eb7e6a25ec8389337a5c6973421d

CleanSpark 8月產出659枚BTC:金色財經報道，美國比特幣礦商CleanSpark發布了截至2023年8月31日的月份未經審計的比特幣挖礦和運營更新。8月份開采659枚BTC，2023年開采的比特幣總數為4,729，截至8月31日的BTC總持有量為1,677，當前算力9.3EH/s。

該公司于2023年8月出售了43枚比特幣，平均每枚比特幣價格約為28,200美元。BTC的銷售相當于約120萬美元的收益。8月份BTC日均開采量為21.26，最高達到22.11。[2023/9/5 13:19:25]

UBT代幣合約：0xca2ca459ec6e4f58ad88aeb7285d2e41747b9134

安全團隊：包含遠程訪問木馬“Parallax RAT”的惡意軟件正以加密公司為目標:3月1日消息，安全分析平臺Uptycs在一份新報告中表示，加密貨幣公司正成為一項新型惡意軟件的目標，該軟件中包含了一種名為Parallax RAT的遠程訪問木馬。據悉，此軟件使用注入技術隱藏在合法進程中，很難被發現。一旦成功注入，攻擊者就可以通過Windows記事本與受害者進行互動，這可能是一個通信渠道。Parallax RAT允許攻擊者遠程訪問受感染設備，具有上傳和下載文件以及記錄擊鍵和屏幕截圖等功能。除了收集系統元數據，Parallax RAT還能夠訪問存儲在剪貼板的數據，甚至遠程重啟或關閉受感染設備。[2023/3/1 12:36:18]

UGT代幣合約：0xbc5db89ce5ab8035a71c6cd1cd0f0721ad28b508

礦企CleanSpark以2800萬美元的價格購買1萬臺新礦機:金色財經報道，比特幣礦工CleanSpark購買了10000臺新礦機，在6月至8月期間購買了6200臺新礦機。由于當前的市場狀況，該公司能夠以折扣價購買機器。[2022/9/7 13:14:39]

2.2項目背景

Paraluni項目是新加坡ParallelUniverse基金會發布的一個基于幣安智能鏈的匿名項目，用戶可以通過與masterChef合約交互進行質押代幣獲取流動性收益。

2.3攻擊流程

為了使得攻擊流程更加清晰，我們將本次攻擊分為兩個階段進行分析。

USDT和BUSD向對應的ParaPair添加流動性，獲得155,935枚ParaluniLP代幣到UBT合約中。此時獲取的Lp代幣為后續的攻擊提供重要支持。

核心攻擊階段

1.調用MasterChef合約中的depositByAddLiquidity函數，傳入參數為_pid:18,_token:,_amounts:，表示向18號池子添加1個UGT和1個UBT的流動性。?

2.然后內部調用depositByAddLiquidityInternal函數，該函數的主要作用是調用addLiquidityInternal函數去鑄造LP代幣，然后調用_deposit函數存入LP代幣到用戶地址。但是函數并未校驗用戶傳入的_tokens和池子編號為_pid的tokens是否匹配，這就造成攻擊者能夠利用自己創建部署的惡意代幣進行后面重要操作。

3.depositByAddLiquidityInternal再內部調用addLiquidityInternal函數，該函數通過合約中LP代幣余額變化計算出需要deposit的數量。

4.其中當addLiquidityInternal函數調用到paraRouter.addLiquidity時，會調用攻擊者在預攻擊階段部署的UBT代幣合約中的transferFrom函數完成添加流動性操作。

但該惡意合約改寫transferFrom后會調用MasterChef的deposit()函數將預攻擊階段第三步獲取的LP代幣轉入masterChef中，此時的masterChef中LP余額已經變化，然后會調用_deposit函數存入LP代幣到用戶地址,此時獲取第一份LP代幣。

然后加上惡意合約的transferFrom調用deposit()時也會調用_deposit函數存入LP代幣到用戶地址，就相當于獲取了兩份LP代幣。

5.攻擊者分別調用UBT合約中的withdrawAsset函數和利用攻擊合約調用Mastechef合約中的withdraw函數提取兩份相同的LP到攻擊合約中；

6.最后移除流動性獲取31萬枚BSC-USD和31萬枚BUSD，然后歸還閃電貸完成攻擊。

3.漏洞核心

本次的攻擊主要是MasterCheif合約中的depositByAddLiquidity函數并未校驗用戶傳入的_tokens和池子編號為_pid的tokens是否一致，且外部調用時并未考慮到重入問題添加重入鎖，最終導致攻擊者能夠傳入外部惡意代幣合約進行重入攻擊。

4.總結

知道創宇區塊鏈安全實驗室在此提醒，任何有關deposit等操作都需要慎重考慮，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：PARARAPARATERSTARPARKDARA幣PARAGON幣Minter HUB

pepe最新價格