Cointime

Cointime

Download App
iOS & Android

SharkTeam: Phân tích nguyên lý sự cố tấn công BNO

Vào ngày 18 tháng 7 năm 2023, giờ Bắc Kinh, Ocean BNO đã bị một cuộc tấn công cho vay chớp nhoáng và kẻ tấn công đã kiếm được khoảng 500.000 đô la Mỹ.

SharkTeam lần đầu tiên tiến hành phân tích kỹ thuật về sự cố này và tóm tắt các biện pháp phòng ngừa bảo mật, hy vọng rằng các dự án tiếp theo có thể rút kinh nghiệm và cùng nhau xây dựng tuyến phòng thủ bảo mật cho ngành công nghiệp blockchain.

1. Phân tích sự kiện

Địa chỉ kẻ tấn công: 0xa6566574edc60d7b2adbacedb71d5142cf2677fb

Hợp đồng tấn công: 0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

Hợp đồng bị tấn công: 0xdCA503449899d5649D32175a255A8835A03E4006

Giao dịch tấn công: 0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

Quá trình tấn công: (1) Kẻ tấn công (0xa6566574) đã mượn 286.449 BNO thông qua khoản vay flash pancakeSwap.

(2) Sau đó, gọi chức năng stakeNft của hợp đồng bị tấn công (0xdCA50344) để cam kết hai nft.

(3) Sau đó, gọi chức năng cầm cố của hợp đồng bị tấn công (0xdCA50344) để cầm cố 277856 BNO coin.

(3) Sau đó, gọi chức năng cầm cố của hợp đồng bị tấn công (0xdCA50344) để cầm cố 277856 BNO coin.

(4) Gọi chức năng EmergencyWithdraw của hợp đồng bị tấn công (0xdCA50344) để trích xuất tất cả BNO

(5) Sau đó, gọi hàm unstakeNft của hợp đồng bị tấn công (0xdCA50344), truy xuất hai nft đã cam kết và nhận thêm mã thông báo BNO.

(6) Lặp lại quy trình trên để liên tục nhận thêm mã thông báo BNO

(7) Sau khi hoàn trả khoản vay chớp nhoáng, hãy đổi tất cả các mã thông báo BNO lấy 50,5W BUSD và rời khỏi thị trường với lợi nhuận.

2. Phân tích lỗ hổng

Nguyên nhân sâu xa của cuộc tấn công này là: có sự cố với cơ chế tính toán phần thưởng và logic tương tác của chức năng rút tiền khẩn cấp trong hợp đồng bị tấn công (0xdCA50344), khiến người dùng nhận được thêm mã thông báo phần thưởng sau khi rút tiền gốc.

2. Phân tích lỗ hổng

Nguyên nhân sâu xa của cuộc tấn công này là: có sự cố với cơ chế tính toán phần thưởng và logic tương tác của chức năng rút tiền khẩn cấp trong hợp đồng bị tấn công (0xdCA50344), khiến người dùng nhận được thêm mã thông báo phần thưởng sau khi rút tiền gốc.

Hợp đồng cung cấp chức năng EmergencyWithdraw để rút mã thông báo khẩn cấp và xóa tổng số tiền thế chấp và tổng số nợ bonusDebt của kẻ tấn công, nhưng không xóa biến nftAddition của kẻ tấn công và biến nftAddition cũng được tính thông qua biến số tiền đặt cược.

Trong hàm unstakeNft, phần thưởng hiện tại của người dùng sẽ vẫn được tính và nếu biến nftAddition không được đặt lại về 0, thì hàmendingFit sẽ vẫn trả về giá trị phần thưởng BNO bổ sung, khiến kẻ tấn công lấy thêm mã thông báo BNO.

3. Khuyến nghị bảo mật

Để đối phó với cuộc tấn công này, chúng ta nên tuân theo các biện pháp phòng ngừa sau trong quá trình phát triển:

(1) Khi tính phần thưởng, hãy xác minh xem người dùng đã rút tiền gốc chưa.

(2) Trước khi dự án trực tuyến, cần tìm kiếm sự hỗ trợ kỹ thuật từ nhóm kiểm toán chuyên nghiệp của bên thứ ba.

Về chúng tôi

Tầm nhìn của SharkTeam là bảo vệ toàn diện an ninh của thế giới Web3. Nhóm bao gồm các chuyên gia bảo mật giàu kinh nghiệm và các nhà nghiên cứu cấp cao từ khắp nơi trên thế giới. Họ thành thạo lý thuyết cơ bản về chuỗi khối và hợp đồng thông minh, đồng thời cung cấp các dịch vụ bao gồm kiểm toán hợp đồng thông minh, phân tích trên chuỗi và ứng phó khẩn cấp. Nó đã thiết lập mối quan hệ hợp tác lâu dài với những người chơi chính trong các lĩnh vực khác nhau của hệ sinh thái blockchain, chẳng hạn như Polkadot, Moonbeam, đa giác, OKC, Huobi Global, imToken, ChainIDE, v.v.

Trang web chính thức: https://www.sharkteam.org

Địa chỉ: https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

Bất hòa: https://discord.gg/jGH9xXCjDZ

Điện tín: https://t.me/sharkteamorg

Metaverse Đội cá mập
Các bình luận

Tất cả bình luận

Recommended for you

  • Quốc hội Đức thông qua "Đạo luật số hóa thị trường tài chính"

    Theo Ledger Insights, Quốc hội Đức (Bundestag) đã thông qua Đạo luật số hóa thị trường tài chính (Finanzmarktdigitalisierungsgesetz của FinmadiG) trong tuần này. Nghị viện đã đáp lại lời kêu gọi của ngành nhằm đảm bảo luật pháp được áp dụng trước khi MiCAR có hiệu lực hoàn toàn vào ngày 30 tháng 12. FinmadiG không chỉ xử lý tiền điện tử và MiCAR mà còn ảnh hưởng đến các luật khác của EU như DORA và Quy định chuyển tiền. Đối với MiCAR, nó đã giới thiệu Đạo luật điều chỉnh thị trường tiền điện tử (KMAG), thay thế các quy tắc tiền điện tử cũ của Đức bằng MiCAR. Về mặt kỹ thuật, MiCAR là một quy định và do đó không yêu cầu luật pháp địa phương. Tuy nhiên, cần phải có luật pháp để chỉ định BaFin là cơ quan giám sát, nếu không BaFin không thể cấp giấy phép. Điều này sẽ cho phép các công ty EU có giấy phép tiền điện tử từ các quốc gia khác hoạt động ở Đức, nhưng các công ty Đức sẽ không thể hoạt động ở EU. Ngoài ra, MiCAR cho phép các công ty có giấy phép hiện tại tiếp tục hoạt động trong tối đa 18 tháng, với thời gian chuyển tiếp được xác định theo từng khu vực pháp lý. Pháp luật mới của Đức quy định một năm.

  • Odos DAO: Xuất hiện các cuộc tấn công email lừa đảo liên quan đến "Chương trình khách hàng thân thiết của ODOS", nhắc nhở người dùng cảnh giác

    Odos DAO đã ban hành một tài liệu về Cả Odos DAO và ODOS đều không gửi email cho người dùng. Tất cả thông tin liên lạc chính thức chỉ thông qua các tài khoản Twitter đã được xác minh, không nhấp vào bất kỳ liên kết đáng ngờ nào.

  • Vivek Ramaswamy

    Vivek Ramaswamy, người đứng đầu Ban Hiệu quả Chính phủ Hoa Kỳ cùng với Musk, xác nhận rằng tài khoản X của ông đã bị đánh cắp sau khi đăng tin sai sự thật về mối quan hệ hợp tác với USUAL.

  • Binance Futures sẽ triển khai các hợp đồng giao hàng quý 2 dựa trên U và Coin 0627

    Binance Futures sẽ ra mắt các hợp đồng giao hàng quý 0627 ký quỹ U và ký quỹ Coin sau đây trong vòng vài giờ sau khi hợp đồng giao hàng quý 1227 ký quỹ U và ký quỹ Coin hết hạn vào lúc 16:00 ngày 27 tháng 12.

  • Scam Sniffer: Tài khoản X của zkPass đã bị hack và đăng tin sai sự thật về airdrop

    Theo bài đăng của Scam Sniffer trên nền tảng X, tài khoản X của zkPass đã bị hack và các thông báo airdrop sai lệch đã được đăng để cảnh báo cộng đồng.

  • Người sáng lập Curve phản hồi: Không có CRV để hỗ trợ vị trí, và phần CRV này đã bị đánh cắp trong vụ hack UwU Lend hồi tháng 6

    Theo tin tức ngày 19 tháng 12, người sáng lập Curve, Michael Egorov, đã tweet để phản hồi về việc “918.000 CRV trong địa chỉ được đánh dấu của nó đang bị thanh lý”, nói rằng phần CRV này đã bị đánh cắp trong cuộc tấn công của hacker UwU Lend vào ngày 10 tháng 6. Vì vậy, theo nghĩa đó, chúng không phải là “CRV thật” mà là “sự nhận được lời hứa của Sifu sẽ hoàn trả số tiền bị hack”. Theo tin tức trước đó, giao thức cho vay UwU Lend đã bị tấn công một lần nữa vào tháng 6 năm nay, khiến tài sản bị mất khoảng 3,72 triệu USD.

  • Slurpycoin trên BSC bị tấn công bởi các khoản vay flash. Kẻ tấn công đã sử dụng cơ chế mua lại để thao túng giá token nhằm kiếm lợi nhuận.

    Theo giám sát của CertiK Alert, Slurpycoin trên BSC đã phải chịu một cuộc tấn công cho vay ngắn hạn. Kẻ tấn công đã sử dụng cơ chế mua lại để thao túng giá token và kiếm được khoản lợi nhuận khoảng 3.000 USD từ hoạt động kinh doanh chênh lệch giá. Cuộc tấn công này cũng là nguyên nhân gây ra lỗ hổng ngày 2 tháng 7 khiến token MRP trị giá khoảng 10.000 USD.

  • Europol thu giữ hơn 26 triệu đô la tiền điện tử từ 9 kẻ buôn ma túy

    Theo tin tức ngày 19 tháng 12, Europol đã hợp tác với các cơ quan thực thi pháp luật ở sáu quốc gia để triệt phá một nhóm buôn bán ma túy quốc tế sử dụng tiền điện tử. Chín nghi phạm đã bị bắt trong chiến dịch này. Trong quá trình hoạt động, các vật có giá trị bao gồm vàng và hàng xa xỉ, 35.000 euro tiền mặt và 25 triệu euro tiền điện tử, tương đương 26,23 triệu USD, đã bị thu giữ. Tổng giá trị tài sản bị thu giữ là 27 triệu euro, tương đương 28,33 triệu USD.

  • Binance Alpha công bố loạt dự án đầu tiên: KOMA, Cheems, APX, ai16z và AIXBT

    Theo tin tức chính thức, Binance Alpha đã công bố loạt dự án đầu tiên, cụ thể là: KOMA, Cheems, APX, ai16z và AIXBT.

  • Kinto đảm bảo khoản tài trợ 5 triệu USD để hỗ trợ các tổ chức tài chính và các giao thức phi tập trung.

    Kinto có trụ sở tại Orlando, Florida, nơi cung cấp blockchain lớp thứ hai được KYC chứng nhận hỗ trợ các tổ chức tài chính và các giao thức phi tập trung, đã huy động được tổng cộng 5 triệu đô la trong hai vòng tài trợ. Trong số đó, 1,5 triệu USD đến từ vòng tài trợ hạt giống do Kyber Capital Crypto dẫn đầu và 3,5 triệu USD đến từ vòng tài trợ thứ hai do Kyber Capital Crypto, Spartan Group và Parafi dẫn đầu, cũng như Skybridge, Kraynos, Soft Holdings, Deep. Các công ty mạo hiểm, mô-đun, Tane và Robot và các nhà đầu tư khác đã tham gia. Công ty dự định sử dụng số tiền này để mở rộng đội ngũ và phát triển mạng lưới. Kinto, do Giám đốc điều hành Ramon Recuero lãnh đạo, là mạng lớp thứ hai được KYC chứng nhận có khả năng hỗ trợ các tổ chức tài chính hiện đại và các giao thức phi tập trung. Đây là mạng an toàn, chi phí thấp, đáp ứng các yêu cầu của DeFi và tài chính truyền thống. Kinto bảo vệ quyền riêng tư và tài sản của người dùng. Cơ chế KYC của nó mã hóa tất cả thông tin cá nhân và lưu trữ thông tin đó với bên thứ ba, chỉ chia sẻ thông tin đó theo yêu cầu của người dùng. Ngoài ra, mọi ứng dụng đều được bảo hiểm trên đó, bảo vệ người dùng khỏi các lỗ hổng không thể phát hiện và gian lận ẩn danh. Cuối cùng, Kinto đưa ra các ưu đãi dành cho nhà phát triển, khiến nơi đây trở thành nơi lý tưởng để khởi chạy các ứng dụng mới.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty