合约漏洞:pNetwork被黑事件分析
北京时间9月20日凌晨,pNetwork跨链项目遭到黑客攻击,黑客利用BSC上pBTC的代码漏洞,窃取了277枚BTC,损失价值高达1270万美元。?
SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。
GMBL.COMPUTER:密钥泄露导致损失近500ETH,非合约漏洞正在追回资金:9月6日消息,Arbitrum 生态 DEX GMBL.COMPUTER 在 X 平台(原推特)解释了今日签名密钥泄露事件的经过,称有人能够伪造“调用”并从其服务器获取签名,然后将该签名传递给合约,并从合约中提取了价值近 500 ETH(按当前价格约合 81.5 万美元)的 GMBL。
GMBL.COMPUTER 表示,这不是合约漏洞。已找到了问题的根源,它是发生在链下的,已经掌握了他们的所有信息,并将开始追回资金。其将提供漏洞赏金,如果资金得以返还,则不会采取法律行动。[2023/9/6 13:20:26]
一、事件分析
Armor.Fi CTO与Immunefi合作提供智能合约漏洞赏金:DeFi保险协议Armor.Fi首席技术官Robert Forster正与智能合约漏洞赏金平台Immunefi合作,向任何能在以太坊生态系统项目中找到关键智能合约漏洞的人提供价值32万美元的奖金。R Bounty计划旨在鼓励负责任地披露关键漏洞。Robert将以个人身份发放Armor代币奖励。(The Defiant)[2021/2/21 17:36:50]
https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934
本体官方声明:本体不受NEP-5智能合约漏洞影响:本体官网发布声明称,对于NEP-5智能合约出现的存储注入漏洞问题,本体团队第一时间进行了调查分析,得出结论如下:1.ONT持有人的资金和财产是安全的,不会受到攻击的影响;2. 本体团队将继续跟进该漏洞的进展,与相关组织保持紧密沟通和技术配合,以保障ONT持有人的账户安全。[2018/5/19]
以其中一笔交易进行分析:https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中,并在攻击完成后调用selfdestruct()函数销毁合约,使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知,攻击者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。
随后通过攻击合约发送多个Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。
触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin,这是跨链攻击中重要的环节。
以其中的一个比特币地址查询,可查到相同数量的bitcoin到账。
通过pToken的介绍可知,跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量,并没有进行其他的检查!使得黑客利用这一漏洞,在BSC上触发多次redeem事件,窃取大量的BTC。
二、安全建议
SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。