Cointime

Cointime

Download App
iOS & Android

SharkTeam: BNO 攻撃事件の原理分析

北京時間の2023年7月18日、オーシャンBNOはフラッシュローン攻撃を受け、攻撃者は約50万米ドルの利益を得た。

SharkTeamは、このインシデントの技術分析を初めて実施し、セキュリティ上の注意事項をまとめ、後続のプロジェクトがこのインシデントから学び、ブロックチェーン業界のセキュリティ防御線を共同で構築できることを期待しました。

1. イベント分析

攻撃者のアドレス: 0xa6566574edc60d7b2adbacedb71d5142cf2677fb

攻撃契約: 0xd138b9a58d3e5f4be1cd5ec90b66310e241c13cd

攻撃されたコントラクト: 0xdCA503449899d5649D32175a255A8835A03E4006

攻撃トランザクション: 0x33fed54de490797b99b2fc7a159e43af57e9e6bdefc2c2d052dc814cfe0096b9

攻撃プロセス: (1) 攻撃者 (0xa6566574) は、pancakeSwap フラッシュ ローンを通じて 286,449 BNO を借りました。

(2) 次に、攻撃されたコントラクト (0xdCA50344) の stakeNft 関数を呼び出し、2 つの nft をプレッジします。

(3) 次に、攻撃されたコントラクト (0xdCA50344) のプレッジ関数を呼び出し、277856 BNO コインをプレッジします。

(3) 次に、攻撃されたコントラクト (0xdCA50344) のプレッジ関数を呼び出し、277856 BNO コインをプレッジします。

(4) 攻撃されたコントラクト(0xdCA50344)のemergencyWithdraw関数を呼び出し、すべてのBNOを抽出します。

(5) 次に、攻撃されたコントラクト (0xdCA50344) の unstakeNft 関数を呼び出し、誓約された 2 つの NFT を取得し、追加の BNO トークンを受け取ります。

(6) 上記のプロセスを繰り返して、追加の BNO トークンを継続的に取得します

(7) フラッシュローンを返済した後、すべての BNO トークンを 50.5W BUSD に交換し、利益を残して市場を離れます。

2. 脆弱性分析

この攻撃の根本原因は、攻撃されたコントラクト (0xdCA50344) の報酬計算メカニズムと緊急引き出し機能の対話ロジックに問題があり、ユーザーが元本を引き出した後に追加の報酬トークンを取得することになります。

2. 脆弱性分析

この攻撃の根本原因は、攻撃されたコントラクト (0xdCA50344) の報酬計算メカニズムと緊急引き出し機能の対話ロジックに問題があり、ユーザーが元本を引き出した後に追加の報酬トークンを取得することになります。

このコントラクトは、トークンの緊急引き出しのためのEmergencyWithdraw関数を提供し、攻撃者のallstake合計モーゲージとrewardDebt合計負債をクリアしますが、攻撃者のnftAddition変数はクリアせず、nftAddition変数もallstake変数を通じて計算されます。

unstakeNft 関数では、ユーザーの現在の報酬が引き続き計算され、nftAddition 変数がゼロにリセットされていない場合、pendingFit 関数は引き続き追加の BNO 報酬値を返し、攻撃者が追加の BNO トークンを取得することになります。

3. セキュリティに関する推奨事項

この攻撃に対応するには、開発プロセス中に次の予防措置に従う必要があります。

(1) 報酬を計算する際には、利用者が元本を引き出しているかどうかを確認します。

(2) プロジェクトがオンラインになる前に、第三者の専門監査チームから技術支援を求める必要があります。

私たちに関しては

SharkTeam のビジョンは、Web3 世界のセキュリティを包括的に保護することです。このチームは世界中から集まった経験豊富なセキュリティ専門家と上級研究者で構成されており、ブロックチェーンとスマートコントラクトの基礎理論に精通しており、スマートコントラクトの監査、オンチェーン分析、緊急対応などのサービスを提供しています。 Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE など、ブロックチェーン エコシステムのさまざまな分野の主要企業と長期的な協力関係を確立しています。

公式ウェブサイト:https: //www.sharkteam.org

公式サイト: https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

Discord: https://discord.gg/jGH9xXCjDZ

電報: https://t.me/sharkteamorg

NFT サメチーム
コメント

全てのコメント

Recommended for you

  • 韓国人女性、23億ドルの仮想通貨賭博事件で新たな罪に問われる

    1月8日、韓国経済新聞によると、韓国検察はタイで違法仮想通貨賭博サイトを運営した疑いで30代女性を追加起訴した。新たな罪状には犯罪収益の隠蔽と冤罪が含まれる。 2018年4月から2021年8月までの間に、彼女が管理していたウェブサイトは韓国人を含むユーザーから2万4000ビットコイン(23億ドル相当)以上を受け取った。このウェブサイトは、ビットコインの価格変動を予測することでギャンブルを行っています。彼女は当初、違法賭博とマネーロンダリングを開始した罪で懲役5年を言い渡されたが、控訴審で刑期は半分の2年半に減刑された。この訴訟は現在、韓国最高裁判所の判決を待っている。

  • 今日のパニックと貪欲指数は70に下がり、レベルは極度の貪欲から貪欲に変わりました。

    今日のパニックと貪欲指数は 70 に低下し (昨日の 78 から)、グレードは極度の貪欲から貪欲に移りました。 注: パニック指数のしきい値は 0 ~ 100 で、次の指標が含まれます: ボラティリティ (25%) + 市場取引高 (25%) + ソーシャル メディアの人気 (15%) + 市場調査 (15%) + 市場全体におけるビットコインの人気 割合(10%) + Google ホットワード分析 (10%)。

  • バイデン氏:平和的な権力移譲を確実にするため、明日集会を開き、自由で公正な大統領選挙の結果を認証する予定

    ジョー・バイデン大統領は「明日は1月6日だ。私たちは平和的な権力移譲を確実にするため、自由で公正な大統領選挙の結果を認定するためにここに集まっている。

  • デニス・ポーター氏:少なくとも13の州が「戦略的ビットコイン準備金」法案を制定中

    サトシ・アクション・ファンド(SAF)の共同創設者兼最高経営責任者(CEO)のデニス・ポーター氏は、少なくとも13の州が「戦略的ビットコイン準備」法案を制定していることを確認できるとXプラットフォームに投稿した。 1月はビットコイン政策にとって記録的な月になりつつある。

  • 韓国公安局、ユン・ソクユエ氏の逮捕状執行を停止

    聯合ニュースによると、対立が続いているため、韓国公務員犯罪捜査院は現地時間の今日(1月3日)午後1時30分、つまり北京時間の正午12時30分に逮捕状の執行を停止すると発表した。 。現在、公捜部と逮捕状を執行した警察官は大統領官邸を出ている。

  • 韓国の尹錫悦大統領を逮捕した職員らが警備員と衝突

    尹錫悦(ユン・ソクユ)大統領の逮捕を目指していた韓国高官犯罪捜査院(PSO)の捜査官らが今日(1月3日)大統領官邸に入り、官邸内で警備員らと衝突し、物理的な衝突を起こした。逮捕者らは官邸の正面玄関を通過したが、イン・シユエがいる建物にはまだ入っていない。

  • 特定のウォレットアドレスは KM の購入に 27 SOL を費やし、約 650,000 米ドルの変動利益が得られました。

    The Data Nerdの監視によると、マスク氏がニックネームを「Kekius Maximus」に変更した後、Solana上のMemecoin KM(Kekius Maximus)は1810万SOLを購入するために27 SOL(約5,200米ドル)を費やして100倍に増加した。現在、KM の価値は 655,000 ドルで、投資収益率は 126 倍です。

  • マスク氏がXプラットフォームのニックネームをKekius Maximusに変更したため、同じ名前のトークン「Kekius Maximus」は174.6%上昇した

    マスク氏が X プラットフォームのニックネームを KekiusMaximus に変更したため、同名のトークン「Kekius Maximus」は 174.6% 上昇し、現在 0.03887 米ドルで取引されています。市場は大きく変動するため、リスクを管理してください。

  • Scam Sniffer: Superchain Eco 公式 X アカウントが盗まれ、フィッシングリンクが投稿されました。リスクにご注意ください

    Scam Sniffer の監視によると、Superchain Eco の X アカウント (@SuperchainEco) が盗まれ、フィッシング リンクが投稿されたことがわかりました。ユーザーはリスクに注意することが推奨されています。

  • Kinto は、金融機関と分散型プロトコルをサポートするために 500 万ドルの資金を確保しました。

    フロリダ州オーランドに拠点を置き、金融機関と分散型プロトコルをサポートするKYC認定の第2層ブロックチェーンを提供するKintoは、2回の資金調達ラウンドで合計500万ドルを調達した。このうち、150万米ドルはKyber Capital Cryptoが主導するシードラウンドから調達され、350万米ドルはKyber Capital Crypto、Spartan Group、Parafi、Skybridge、Kraynos、Soft Holdings、Deepが主導する第2回資金調達ラウンドから調達された。 Ventures、Modular、Tane、Robot Ventures、その他の投資家が参加しました。同社はこの資金をチーム拡大とネットワーク開発に活用する予定だ。 CEO の Ramon Recuero 氏が率いる Kinto は、現代の金融機関と分散型プロトコルをサポートできる KYC 認定の第 2 層ネットワークです。これは、DeFi と従来の金融の要件を満たす、低コストで安全なネットワークです。 Kinto はユーザーのプライバシーと資産を保護します。その KYC メカニズムはすべての個人情報を暗号化して第三者に保管し、ユーザーの要求があった場合にのみ共有します。さらに、すべてのアプリケーションに保険が適用され、追跡不可能な脆弱性や匿名の詐欺からユーザーを保護します。最後に、Kinto は開発者向けのインセンティブを提供しており、新しいアプリケーションを立ち上げるのに理想的な場所となっています。

毎日の必読

人気のアクティビティ

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul

人気のタグ

Cointime
Content
Company