Cointime

Cointime

Download App
iOS & Android

SharkTeam: BNO 攻撃事件の原理分析

北京時間の2023年7月18日、オーシャンBNOはフラッシュローン攻撃を受け、攻撃者は約50万米ドルの利益を得た。

SharkTeamは、このインシデントの技術分析を初めて実施し、セキュリティ上の注意事項をまとめ、後続のプロジェクトがこのインシデントから学び、ブロックチェーン業界のセキュリティ防御線を共同で構築できることを期待しました。

1. イベント分析

攻撃者のアドレス: 0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻撃契約: 0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

攻撃されたコントラクト: 0xdCA503449899d5649D32175a255A8835A03E4006

攻撃トランザクション: 0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

攻撃プロセス: (1) 攻撃者 (0xa6566574) は、pancakeSwap フラッシュ ローンを通じて 286,449 BNO を借りました。

(2) 次に、攻撃されたコントラクト (0xdCA50344) の stakeNft 関数を呼び出し、2 つの nft をプレッジします。

(3) 次に、攻撃されたコントラクト (0xdCA50344) のプレッジ関数を呼び出し、277856 BNO コインをプレッジします。

(3) 次に、攻撃されたコントラクト (0xdCA50344) のプレッジ関数を呼び出し、277856 BNO コインをプレッジします。

(4) 攻撃されたコントラクト(0xdCA50344)のemergencyWithdraw関数を呼び出し、すべてのBNOを抽出します。

(5) 次に、攻撃されたコントラクト (0xdCA50344) の unstakeNft 関数を呼び出し、誓約された 2 つの NFT を取得し、追加の BNO トークンを受け取ります。

(6) 上記のプロセスを繰り返して、追加の BNO トークンを継続的に取得します

(7) フラッシュローンを返済した後、すべての BNO トークンを 50.5W BUSD に交換し、利益を残して市場を離れます。

2. 脆弱性分析

この攻撃の根本原因は、攻撃されたコントラクト (0xdCA50344) の報酬計算メカニズムと緊急引き出し機能の対話ロジックに問題があり、ユーザーが元本を引き出した後に追加の報酬トークンを取得することになります。

2. 脆弱性分析

この攻撃の根本原因は、攻撃されたコントラクト (0xdCA50344) の報酬計算メカニズムと緊急引き出し機能の対話ロジックに問題があり、ユーザーが元本を引き出した後に追加の報酬トークンを取得することになります。

このコントラクトは、トークンの緊急引き出しのためのEmergencyWithdraw関数を提供し、攻撃者のallstake合計モーゲージとrewardDebt合計負債をクリアしますが、攻撃者のnftAddition変数はクリアせず、nftAddition変数もallstake変数を通じて計算されます。

unstakeNft 関数では、ユーザーの現在の報酬が引き続き計算され、nftAddition 変数がゼロにリセットされていない場合、pendingFit 関数は引き続き追加の BNO 報酬値を返し、攻撃者が追加の BNO トークンを取得することになります。

3. セキュリティに関する推奨事項

この攻撃に対応するには、開発プロセス中に次の予防措置に従う必要があります。

(1) 報酬を計算する際には、利用者が元本を引き出しているかどうかを確認します。

(2) プロジェクトがオンラインになる前に、第三者の専門監査チームから技術支援を求める必要があります。

私たちに関しては

SharkTeam のビジョンは、Web3 世界のセキュリティを包括的に保護することです。このチームは世界中から集まった経験豊富なセキュリティ専門家と上級研究者で構成されており、ブロックチェーンとスマートコントラクトの基礎理論に精通しており、スマートコントラクトの監査、オンチェーン分析、緊急対応などのサービスを提供しています。 Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE など、ブロックチェーン エコシステムのさまざまな分野の主要企業と長期的な協力関係を確立しています。

公式ウェブサイト:https: //www.sharkteam.org

公式サイト: https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

Discord: https://discord.gg/jGH9xXCjDZ

電報: https://t.me/sharkteamorg

NFT サメチーム
コメント

全てのコメント

Recommended for you

  • 米上院銀行委員会の委員長は、ステーブルコインの利回りに関する新たな草案が早ければ今週中にも公表される可能性があると述べた。

    Cointimeの報道によると、上院銀行委員会の委員長を務めるティム・スコット上院議員は、ワシントンD.C.で開催されたブロックチェーンサミットで、議員らは早ければ今週中にも、少なくともステーブルコイン関連の条項を含む新たな法案草案を目にする可能性があると述べた。スコット議員は、法案の中で最も注目を集めているのはステーブルコインの利回り問題だが、議員らは引き続きこの問題に取り組んでいると指摘した。 スコット議員は、「今週中に最初の提案が提出されるだろう。もしそれが週末までに実現すれば、少なくとも法案の枠組みが形になりつつあるかどうかが分かるだろう。そうなれば、我々はより良​​い状況に立てると思う」と述べた。また、ステーブルコインの利回り問題に関して、民主党のアンジェラ・アルソブルックス上院議員、共和党のトム・ティリス上院議員、そしてホワイトハウス高官のパトリック・ウィット氏の尽力も、この進展に貢献していると述べた。 スコット氏は、過去1か月間の交渉で、ドナルド・トランプ大統領とその家族の暗号資産プロジェクトに対する議員の懸念、主要な規制機関における超党派代表の欠如、顧客確認(KYC)規制など、その他の未解決問題も取り上げられたと述べた。 スコット氏はまた、「倫理問題と定足数については、合意に非常に近づいていると思います。これは相手側にとっても重要な問題だと認識しているので、こちらも対応しています。また、いくつかの人事についても進展が見られており、これは良いニュースです。DeFiに関しては、マーク・ワーナー上院議員が注力している分野であり、マネーロンダリング対策(AML)は非常に重要な要素です。これらの問題についても前進していると思います」と述べた。

  • ゴールデンモーニングブリーフィング|3月18日の主要な夜間動向

    21:00~7:00 キーワード:ファントムウォレット、ストライプウォレット、オートノマスウォレット、イラン 1. イランは、米国とイスラエルが自国領土を使用することを容認する国に対して、合法的に攻撃できると主張している。 2. 米国CFTC(商品先物取引委員会)は、ファントムウォレットはブローカーとしての登録を必要としないと発表。 3. アリゾナ州司法長官は、予測マーケティング担当者のカルシ氏を刑事告発。 4. 米国国務省は、世界中のすべての在外公館に対し、「直ちに」安全保障評価を実施するよう命じた。 5. ロビンフッド・ベンチャーキャピタルは、ストライプウォレットとイレブンラボに約3500万ドルを投資。 6. GSRは、オートノマスウォレットとアーキテックを買収するために5700万ドルを投資し、暗号資産ファンド管理プラットフォームを構築。 7. 米国証券取引委員会(SEC)とCFTCは、ほとんどのデジタル資産は証券ではないとする新たな暗号資産ガイダンスを発表。

  • 米国証券取引委員会(SEC)と商品先物取引委員会(CFTC)は、仮想通貨に関する新たな見解を発表し、ほとんどのデジタル資産は証券の範疇には含まれないとした。

    Cointimeは3月18日、米国証券取引委員会(SEC)と商品先物取引委員会(CFTC)が暗号資産に関する68ページのガイダンス文書を公表し、ほとんどのデジタル資産は証券ではないと明記したと報じた。この新たな説明では、ステーブルコイン、デジタル商品、および「デジタル商品」トークンの分類が詳細に説明されており、これらはすべて証券ではないと両機関は述べている。また、「非証券暗号資産」がどのようにして証券になり得るのかを説明し、マイニング、プロトコルステーキング、エアドロップに連邦証券法がどのように適用されるのかを明確にしている。 SECはさらに、非証券デジタル資産が投資契約の対象となる仕組みについても説明している。SECの説明によると、「非証券暗号資産は、発行者が投資家に対し共同事業への投資を促し、必要な経営業務を行うという約束または表明を行い、かつ購入者がそこから利益を得ると期待する理由がある場合に、投資契約の対象となる」。

  • マスターカードは、ステーブルコイン企業であるBVNKを最大18億ドルで買収する計画だ。

    Cointimeの報道によると、Mastercardはステーブルコインインフラのスタートアップ企業であるBVNKを、条件付き買収額3億ドルを含め最大18億ドルで買収する計画だ。この買収は、BVNKとCoinbaseの約20億ドル規模の合併交渉が決裂してからわずか4ヶ月後のことである。両社は火曜日に発表した共同声明で、この取引を確認した。

  • ビットコインが7万5000ドルを突破

    市場データによると、BTCは75,000ドルを突破し、現在75,033.01ドルで取引されており、24時間で2.83%上昇しています。市場は著しい変動に見舞われているため、リスク管理には十分ご注意ください。

  • ビットコインが7万1500ドルを突破

    市場データによると、BTCは71,500ドルを突破し、現在71,510.19ドルで取引されており、24時間で1.06%上昇しています。市場は著しい変動に見舞われているため、リスク管理には十分ご注意ください。

  • イーサリアムが2100ドルを突破

    市場データによると、イーサリアム(ETH)は2,100ドルを突破し、現在2,100.58ドルで取引されており、24時間で0.44%上昇しています。市場は著しい変動に見舞われていますので、リスク管理に十分ご注意ください。

  • 米国の現物イーサリアムETFには、昨日2670万ドルの純流入があった。

    Farside Investorsが監視しているデータによると、3月14日、米国の現物イーサリアムETFには昨日、2670万ドルの純流入があった。

  • 米国司法省はパウエル事件の判決を不服として控訴する予定であり、これによりウォーシュ氏の任命が遅れる可能性がある。

    3月14日、裁判官が連邦準備制度理事会(FRB)に発行された召喚状を却下した後、ロバート・ピロ連邦検事は、FRB議長ジェローム・パウエル氏に対する捜査を継続すると誓い、5月に任期が満了する後任のケビン・ウォーシュ氏の任命を遅らせる可能性があると述べた。ジェームズ・ボスバーグ連邦地裁判事は、FRB本部の改修工事とパウエル氏の同プロジェクトに関する発言に関連する召喚状を政府が正当化する証拠を提示できなかったと述べた。ピロ氏は、「この手続きは過激な判事によって恣意的に妨害された。手続きは円滑に進むべきだったが、そうはならなかった。彼らは恥ずべき行為をしている」と述べた。上院銀行委員会のメンバーであるティリス上院議員は、司法省によるパウエル氏に対する捜査が続く限り、FR​​B議長の指名を阻止すると警告した。「この判決は、パウエル議長に対する刑事捜査がいかに弱く根拠のないものであったかを裏付けるものであり、FRBの独立性に対する失敗した攻撃に過ぎない」とティリス氏は述べた。 「この控訴は、ケビン・ウォーシュ氏の次期連邦準備制度理事会議長への就任承認を遅らせるだけだろう。」

  • ビットコインが7万2000ドルを下回る

    市場データによると、BTCは72,000ドルを下回り、現在71,996.46ドルで取引されています。24時間での上昇率は2.32%に縮小しました。市場の変動性が高いため、リスク管理を徹底してください。

毎日の必読

人気のアクティビティ

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

April 30 - April 30
Dubai

人気のタグ

Cointime
Content
Company