首發 | 一張支票提款兩次的作案手法 你一定不陌生 Paraluni 被攻擊事件分析_TER

北京時間2022年3月13日上午9:04，CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊，大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

漏洞交易

攻擊者地址:?https://bscscan.com/address/0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f?

交易實例:?https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

LBank藍貝殼于4月10日01:00首發 BOSON，開放USDT交易:據官方公告，4月10日01:00，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日23:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

首發 | Bithumb將推出與Bithumb Global之間的加密資產轉賬服務:Bithumb內部人士對金色財經透露，Bithumb推出和Bithumb Global之間的加密貨幣資產免手續費快速轉賬服務，每日加密貨幣資產轉賬限額為2枚BTC。此消息將于今日晚間對外公布。據悉，目前僅支持BTC和ETH資產轉賬。[2020/2/26]

攻擊流程

注意，這個攻擊流程是以下面這個交易為基礎的：https://bscscan.com/tx/0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

準備階段:

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊，近日，DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞，攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息，嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件，DVP安全團隊在收到該漏洞后，第一時間通知該平臺進行修復，但未收到回應。DVP提醒相關用戶關注個人信息安全，以免造成損失。[2019/8/13]

在UBT代幣合約中，有兩個惡意的函數實現：

1.在"transferFrom()"函數中，攻擊者實現了對MasterChef的"deposit()"函數的調用，以存入LP代幣。

2.一個"withdrawAsset()"函數，將調用Masterchef的"withdraw()"來提取存入的LP代幣。

首發 | 螞蟻礦機S17真機圖首次曝光 采用雙筒風扇及一體機設計 ?:繼正式宣布在4月9日現貨銷售后，比特大陸即將發布的新品螞蟻礦機S17又有了新動態。據悉，螞蟻礦機S17真機圖今天在網上首次曝光。

從曝光的圖片來看，螞蟻礦機S17延續上一代產品S15的雙筒風扇設計，且采用一體機的機身設計。有業內人士認為，采用雙筒設計可有效縮短風程，礦機出入風口的溫差變小，機器性能將得到很大改善。

此前比特大陸產品負責人在接受媒體采訪時表示，新品S17較上一代產品相比，無論是在能效比還是單位體積的算力等方面，均有較大提升。[2019/4/3]

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣，并收到155,935枚LP代幣作為回報。

然后，攻擊者調用"depositByAddLiquidity()"函數，將LP代幣存入資金池。

1.在調用此函數時：輸入參數“_pid”為18，“_tokens”為。

2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約）。

最后，攻擊者提取了兩次:

1.?第一次是通過函數“UBT.withdrawAsset()”。

2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后，攻擊者刪除了流動資金并返還了閃電貸。

合約漏洞分析

在函數`MasterChef.depositByAddLiquidity()`中，作為參數傳入的`_tokens`可以與池中的編號為`_pid`的tokens不匹配。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數，觸發了傳入惡意代幣的“transferFrom”函數，進而導致了重入的問題。因此，同一份LP代幣被存入兩次。

資產去向

截至3月13日，總共有價值約170萬美元的資產被盜。3000個BNB仍然在攻擊者在BSC的地址中，235個ETHs則通過Birdge轉移到以太坊，并通過Tornado進行洗白。

寫在最后

該次事件可通過安全審計發現相關風險：審計可以發現重入問題和外部依賴問題。

同時，CertiK的安全專家建議：

時刻關注函數的外部輸入，盡量避免傳入合約地址作為參數。

關注外部調用，為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特

除此之外，CertiK官網已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags：USDITHTERBOSONSFUSD價格upbithoa.picsEternal TokenBOSON幣

酷幣交易所