Cointime

Cointime

Download App
iOS & Android

SharkTeam: BNO 攻撃事件の原理分析

北京時間の2023年7月18日、オーシャンBNOはフラッシュローン攻撃を受け、攻撃者は約50万米ドルの利益を得た。

SharkTeamは、このインシデントの技術分析を初めて実施し、セキュリティ上の注意事項をまとめ、後続のプロジェクトがこのインシデントから学び、ブロックチェーン業界のセキュリティ防御線を共同で構築できることを期待しました。

1. イベント分析

攻撃者のアドレス: 0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻撃契約: 0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

攻撃されたコントラクト: 0xdCA503449899d5649D32175a255A8835A03E4006

攻撃トランザクション: 0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

攻撃プロセス: (1) 攻撃者 (0xa6566574) は、pancakeSwap フラッシュ ローンを通じて 286,449 BNO を借りました。

(2) 次に、攻撃されたコントラクト (0xdCA50344) の stakeNft 関数を呼び出し、2 つの nft をプレッジします。

(3) 次に、攻撃されたコントラクト (0xdCA50344) のプレッジ関数を呼び出し、277856 BNO コインをプレッジします。

(3) 次に、攻撃されたコントラクト (0xdCA50344) のプレッジ関数を呼び出し、277856 BNO コインをプレッジします。

(4) 攻撃されたコントラクト(0xdCA50344)のemergencyWithdraw関数を呼び出し、すべてのBNOを抽出します。

(5) 次に、攻撃されたコントラクト (0xdCA50344) の unstakeNft 関数を呼び出し、誓約された 2 つの NFT を取得し、追加の BNO トークンを受け取ります。

(6) 上記のプロセスを繰り返して、追加の BNO トークンを継続的に取得します

(7) フラッシュローンを返済した後、すべての BNO トークンを 50.5W BUSD に交換し、利益を残して市場を離れます。

2. 脆弱性分析

この攻撃の根本原因は、攻撃されたコントラクト (0xdCA50344) の報酬計算メカニズムと緊急引き出し機能の対話ロジックに問題があり、ユーザーが元本を引き出した後に追加の報酬トークンを取得することになります。

2. 脆弱性分析

この攻撃の根本原因は、攻撃されたコントラクト (0xdCA50344) の報酬計算メカニズムと緊急引き出し機能の対話ロジックに問題があり、ユーザーが元本を引き出した後に追加の報酬トークンを取得することになります。

このコントラクトは、トークンの緊急引き出しのためのEmergencyWithdraw関数を提供し、攻撃者のallstake合計モーゲージとrewardDebt合計負債をクリアしますが、攻撃者のnftAddition変数はクリアせず、nftAddition変数もallstake変数を通じて計算されます。

unstakeNft 関数では、ユーザーの現在の報酬が引き続き計算され、nftAddition 変数がゼロにリセットされていない場合、pendingFit 関数は引き続き追加の BNO 報酬値を返し、攻撃者が追加の BNO トークンを取得することになります。

3. セキュリティに関する推奨事項

この攻撃に対応するには、開発プロセス中に次の予防措置に従う必要があります。

(1) 報酬を計算する際には、利用者が元本を引き出しているかどうかを確認します。

(2) プロジェクトがオンラインになる前に、第三者の専門監査チームから技術支援を求める必要があります。

私たちに関しては

SharkTeam のビジョンは、Web3 世界のセキュリティを包括的に保護することです。このチームは世界中から集まった経験豊富なセキュリティ専門家と上級研究者で構成されており、ブロックチェーンとスマートコントラクトの基礎理論に精通しており、スマートコントラクトの監査、オンチェーン分析、緊急対応などのサービスを提供しています。 Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE など、ブロックチェーン エコシステムのさまざまな分野の主要企業と長期的な協力関係を確立しています。

公式ウェブサイト:https: //www.sharkteam.org

公式サイト: https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

Discord: https://discord.gg/jGH9xXCjDZ

電報: https://t.me/sharkteamorg

NFT サメチーム
コメント

全てのコメント

Recommended for you

  • Fundstratのデジタル資産戦略責任者:現在のキムチプレミアムは約0%であり、BTCにはまだ上昇の余地があることを示している可能性がある

    ショーン氏、Fundstra デジタル資産戦略責任者ファレル氏は最新の顧客ノートで、「友人や家族」が再び仮想通貨について尋ね始めており、定量化可能な市場指標に基づくと、現在の状況は3月の上昇相場や2021年後半の景気循環のピークのようなバブルではないようだと述べた。現在の韓国市場のキムチプレミアム指標データは約0%であり、通常、市場がピークに達するとキムチプレミアムは10%以上に急騰し、韓国のトレーダーの間で過度の興奮がなくなっていることを示しています。過去 1 週間を単に性的繁栄とみなすべきではないが、ビットコインにはまだ上昇の余地があるかもしれない。

  • ソラナ・リアンチュアン氏はソラナは常にZKより速いと発言、Matter Labs CEOは反論

    Solana の共同創設者 toly 氏は Responded でネチズンへの返信で「ZK は常に Solana よりも優れています」と述べた。バリデーターではなく数学によって保護されるため高速です。つまり、(冗長性のため) 1 つまたは少数のバリデーターで十分であり、数千のノード間の合意を待つ必要がありません。」

  • マイク・フラッド米国下院議員:次期SEC議長と協力して反仮想通貨銀行政策SAB 121を撤回することを楽しみにしている

    米国下院のマイク・フラッド議員は最近、「広範な反対にもかかわらず、SAB 121は通常の行政手続法の手続きを経ていないにもかかわらず、法律として効果的に機能し続けている。フラッド議員と協力することを楽しみにしている」と述べた。ゲーリー・ゲンスラー委員長が自ら辞任するか、あるいはトランプ大統領が約束(ゲンスラー解任)を実行するかにかかわらず、新政権にはSAB 121の取り消しに向けて次期SEC委員長に協力する絶好の機会がある。ゲンスラー氏は退任する。」さらに、「今年初めに超党派で下院を通過したデジタル資産規制の枠組みに、民主党の指導者が上院が拒否したにもかかわらず、民主党議員71人が下院共和党に加わって反対したことは驚くべきことではない。それは受け入れられるが、これは仮想通貨にとって画期的な瞬間を表しており、来年1月に始まる次の議会の統一共和党政権の取り組みに影響を与える可能性がある。」

  • インドの億万長者アダニ氏、贈収賄事件での立場を説明するため米国証券取引委員会に呼び出される

    インドの億万長者ゴータム・アダニ氏とその甥のサーガル・アダニ氏は、太陽光発電契約を獲得するために2億5000万ドル以上の賄賂を支払った疑いで、米証券取引委員会(SEC)から召喚状を出され、説明を求められた。インド・プレス・トラスト(PTI)によると、インド西部の都市アーメダバードにあるアダニ一家の住居に召喚状が送達され、21日以内に返答するよう求められた。 PTIは、11月21日にニューヨーク東部地方裁判所を通じて出された通知文を引用し、アダニ一家が期限までに応答しなかった場合、彼らに対して不履行判決が下されると述べた。

  • 米国SEC: 2024会計年度には合計583件の執行措置が取られ、82億米ドルという史上最高額の財政救済が得られました。

    米国SECは最近、2024会計年度の執行努力が過去最高に達したと発表し、市場の健全性と投資家保護を維持するための取り組みを強調した。同庁は、「2024年度には合計583件の執行訴訟が提起され、82億ドルの金融救済が得られたが、これは2023年と比較してSEC史上最高額である14件の増加となった」と明らかにした。 %。 SEC のゲーリー・ゲンスラー委員長は、法執行機関の役割に感謝の意を表し、「法執行機関は事実と法に従い、どこへ行っても法違反者の責任を追及する断固とした警察組織である。今年の結果が示すように、同省は国家安全保障委員会の誠実性の促進に貢献している」と述べた。私たちの資本市場は投資家と発行者の両方に利益をもたらします。」

  • 米下院:ヘスター・パースSEC委員長が新たなSEC委員長代理に就任する可能性がある

    米国のフレンチ・ヒル下院議員は北米ブロックチェーンサミット(NABS)で、共和党のヘスター・パースSEC委員が米国証券取引委員会(SEC)の新しい委員長代理に「なる可能性が高い」と明らかにした。同氏は、ゲイリー・ゲンスラー現委員長が2025年1月20日に辞任した後、共和党がSECを引き継ぎ、パース氏がその地位を引き継ぐと予想されていると指摘した。

  • マスク氏:バイデン氏とハリス氏の選挙キャンペーンで虚偽を広めた伝統的なメディアは依然として存在する

    イーロン・マスクが投稿した記事

  • リップル最高法務責任者、仮想通貨ルールを改革する新たなリーダーシップについてSECに助言

    リップルの最高法務責任者であるスチュアート・アルデロティ氏は今週、Xに関する投稿で次期SEC指導部へのアドバイスを共有した。アルデロティ氏は、仮想通貨の規制問題に効果的に対処する移行チームの能力に自信を表明し、いくつかの行動を促した。アルデロティ氏は、「移行チームが仮想通貨のこうした基本的条件を考慮して正しい決定を下すことを確信している」と述べ、SEC委員のマーク・ウエダ氏とヘスター・パース氏の留任を確実にすることで、詐欺とは関係のない仮想通貨訴訟を即時停止するよう勧告した。協力を促進するため。同氏は、SECの管轄権に従うのではなく、議会や金融規制当局と協力して明確で直接的な仮想通貨ルールを策定する必要性を強調した。 さらに、2018年のヒンマン演説と2019年のデジタル資産分析フレームワークを放棄し、情報公開法(FOIA)プロセスの透明性を高め、過去のSECに対処するために監察総監室を通じて国民の信頼と疑問を回復するための措置を講じるよう求めた。責任の問題。

  • Bitwise CEO、ETHW はすべての投資家に適しているわけではなく、高いリスクと高いボラティリティを伴うことを思い出させる

    Bitwise の CEO、Hunter Horsley 氏は、ETHW は投資会社であるためこの法律で保護されていないため、すべての投資家に適しているわけではなく、より高いリスクと高いボラティリティを伴うと投稿しました。

  • Kinto は、金融機関と分散型プロトコルをサポートするために 500 万ドルの資金を確保しました。

    フロリダ州オーランドに拠点を置き、金融機関と分散型プロトコルをサポートするKYC認定の第2層ブロックチェーンを提供するKintoは、2回の資金調達ラウンドで合計500万ドルを調達した。このうち、150万米ドルはKyber Capital Cryptoが主導するシードラウンドから調達され、350万米ドルはKyber Capital Crypto、Spartan Group、Parafi、Skybridge、Kraynos、Soft Holdings、Deepが主導する第2回資金調達ラウンドから調達された。 Ventures、Modular、Tane、Robot Ventures、その他の投資家が参加しました。同社はこの資金をチーム拡大とネットワーク開発に活用する予定だ。 CEO の Ramon Recuero 氏が率いる Kinto は、現代の金融機関と分散型プロトコルをサポートできる KYC 認定の第 2 層ネットワークです。これは、DeFi と従来の金融の要件を満たす、低コストで安全なネットワークです。 Kinto はユーザーのプライバシーと資産を保護します。その KYC メカニズムはすべての個人情報を暗号化して第三者に保管し、ユーザーの要求があった場合にのみ共有します。さらに、すべてのアプリケーションに保険が適用され、追跡不可能な脆弱性や匿名の詐欺からユーザーを保護します。最後に、Kinto は開発者向けのインセンティブを提供しており、新しいアプリケーションを立ち上げるのに理想的な場所となっています。

毎日の必読

人気のアクティビティ

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul

人気のタグ

Cointime
Content
Company