SHA:SharkTeam:BNO攻击事件原理分析_NFT Gallery

北京时间2023年7月18日,Ocean BNO遭受闪电贷攻击,攻击者已获利约50万美元。

SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。

攻击者地址:

0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻击合约:

0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

ShapeShift?DAO铸造的FOX Success Tokens获得Coinbase Ventures与Chapter One战略投资:3月25日消息,去中心化交易平台ShapeShift DAO宣布其铸造的FOX Success Tokens获得Coinbase Ventures与Chapter One战略投资。此前消息,去中心化交易平台ShapeShift将推出附加收益的FOX代币。[2022/3/25 14:16:59]

被攻击合约:

0xdCA503449899d5649D32175a255A8835A03E4006

攻击交易:

0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

CoinShares将以1700万美元的价格收购Elwood Technologies的ETF业务:7月6日消息,欧洲最大的加密货币资产管理公司CoinShares将以1700万美元的价格收购Elwood Technologies的交易所交易基金(ETF)业务,该公司由对冲基金重量级人物Alan Howard拥有。该交易将通过股权互换结算,CoinShares将以每股13.09美元的价格发行1,298,322股新普通股。作为交易的一部分,Elwood的股票研究团队也将加入CoinShares。

据悉,Elwood成立于2018年,与资产管理公司Invesco一起推出了Invesco Elwood全球区块链股票UCITS ETF,试图让投资者接触到从区块链技术产生收益的上市公司。该指数自2019年推出以来,已积累了超过10亿美元的管理资产。(The Block)[2021/7/6 0:30:31]

攻击流程:

Gate.io将于今日17:00上线Frax Share(FXS)交易:据官方公告,Gate.io将于2020年12月21日(今日)17:00上线Frax Share (FXS)交易,目前充值服务已开放。风险提示:请务必注意价格变化,提前调整市场挂单,切勿追高。[2020/12/21 15:58:17]

(1)攻击者(0xa6566574)通过pancakeSwap闪电贷借取286449 枚BNO。

(2)随后调用被攻击合约(0xdCA50344)的stakeNft函数质押两个nft。

声音 | CipherBlade:ShapeShift涉嫌的资金不到300万美元:据coindesk报道,华尔街日报从去年9月开始调查,并发表了题为“脏钱如何消失在加密货币的黑洞中”的文章,声称加密交易平台ShapeShift在几年内促进了至少价值900万美元的活动。 现在根据ShapeShift的要求,区块链分析公司CipherBlade重新研究了华尔街日报2018年的报告,并发现涉及有可能“被污染”的资金交易不到300万美元。[2019/3/21]

(3)接着调用被攻击合约(0xdCA50344)的pledge函数质押277856枚BNO币。

(4)调用被攻击合约(0xdCA50344)的emergencyWithdraw函数提取回全部的BNO

(5)然后调用被攻击合约(0xdCA50344)的unstakeNft函数,取回两个质押的nft并收到额外的BNO代币。

(6)循环上述过程,持续获得额外的BNO代币

(7)最后归还闪电贷后将所有的BNO代币换成50.5W个BUSD后获利离场。

本次攻击的根本原因是:被攻击合约(0xdCA50344)中的奖励计算机制和紧急提取函数的交互逻辑出现问题,导致用户在提取本金后可以得到一笔额外的奖励代币。

合约提供emergencyWithdraw函数用于紧急提取代币,并清除了攻击者的allstake总抵押量和rewardDebt总债务量,但并没有清除攻击者的nftAddtion变量,而nftAddition变量也是通过allstake变量计算得到。

而在unstakeNft函数中仍然会计算出用户当前奖励,而在nftAddition变量没有被归零的情况下,pendingFit函数仍然会返回一个额外的BNO奖励值,导致攻击者获得额外的BNO代币。

针对本次攻击事件,我们在开发过程中应遵循以下注意事项:

(1)在进行奖励计算时,校验用户是否提取本金。

(2)项目上线前,需要向第三方专业的审计团队寻求技术帮助。

金色财经

金色荐读

Block unicorn

区块链骑士

金色财经 善欧巴

Foresight News

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-7:851ms