本文由“灵踪安全”原创,授权“金色财经”独家发布。
8月25日,BSC链上的收益聚合应用Dot.Finance受到闪电贷攻击。受本次攻击事件的影响,项目代币PINK在短时内发生暴跌,从0.77美元跌至0.5美元。
这次攻击事件中有两点值得我们注意:
一是闪电贷再次成为黑客的工具,将攻击的后果放大。
二是本次攻击与前阵子PancakeBunny受到的攻击同源。
关于“闪电贷”,我们已经在往期的文章中多次介绍:它不是攻击的元凶而只是攻击利用的手段。本文特别想强调的是第二点,也就是本次攻击与PancakeBunny的同源性。
我们在本文所说的“同源”通俗的理解就是本项目出现的漏洞与PancakeBunny一样。为什么会这样呢?原因就在于Dot?Fiance是分叉自PanacakeBunny的代码,而在分叉复制的过程中,项目方或许是因为疏忽,或许是因为其它原因,并没有对代码进行详细审计,以致PancakeBunny代码中的漏洞也一并复制过来了,而没有得到修正。
独家 | Bakkt期货合约数据一览:金色财经报道,Bakkt Volume Bot数据显示,8月5日,Bakkt比特币月度期货合约日交易额为5065万美元,同比上涨15%,未平仓合约量为2326万美元,同比下跌5%。[2020/8/6]
由于本次攻击与PancakeBunny具有同源性,因此我们有必要首先回顾一下PancakeBunny此前受到的攻击情况,这些攻击事件具体如下:
2021年5月20日,PancakeBunny第一次遭遇攻击
2021年5月26日,PancakeBunny第二次遭遇攻击
2021年7月17日,PancakeBunny在Polygon上的版本遭外部攻击
本次DotFinance受到的攻击则与PancakeBunny第二次遭受的攻击是相同的漏洞。具体地说,DotFinance分叉复制了PancakeBunny的收益聚合部分,但没有修正其隐藏的漏洞。
独家 | QuestGroup创始人曲鸣:云算力产品已经较为金融化:在今晚由算力互联主办,金色财经独家支持直播的2020矿业新势力AMA上,QuestGroup创始人曲鸣表示,目前看来,云算力产品已经比较金融化了。对于公司而言,在产品设计的逻辑上具备很强的金融思维是非常关键的,并且是围绕如何让客户持续性的获得尽可能多的盈利来展开。现有产品除了交固定周期的算力费与电费来获得数字资产以外,还有很多其他方式,例如算力租赁,矿机租赁,算力合约甚至算力的交易所都是金融化之后的产物。对于新入场的创业者,我认为找到最合适自己的机会入场是最好的,此时新入场的创业者可以通过自己的专业知识与技能储备,自有行业相关资产评估,投资资金体量以及融资能力以及核心团队擅长点来结合一定的需求展开。[2020/2/25]
灵踪安全对本次事件的详细分析如下:
独家 | 香港区块链协会共同主席刘震:虚拟资产交易所申请细则是利好 但仍有问题未解决:香港证监会虚拟资产交易所申请细则将于今日正式公布。新细则将详细说明交易所如何保管、合规性以及其他问题。
对于此事,CCC数币投行 CEO、香港区块链协会共同主席刘震对金色财经发表观点,表示:
1、根据今天FC首席执行官的讲话,该细则大部分是对于已经合规证券化数币交易所的监管,这就意味着交易所所交易的数币必须要是证券。如果交易所可以通过证券的资格,就可以受到监管同时领取牌照,但同时也要符合反以及KYC、有法币入金的要求。所以这一细则对于整个数字货币行业的发展是一个重大的利好。
2、但同时也不是对于所有的数字货币。因为大家知道目前几乎所有的数字货币都不能够正式的成为证券。一部分不是证券,比如BTC,ETH,可能不会成为证券。另外一部分是证券但并没有遵循证券发行的规则。所以即使交易所通过了证券发行规则之后,什么样的数字货币可以成为证券能够上合规证券数币交易所,也依然是一个公开的难题。
3、在此之前,香港有很多交易所已经申请进入沙盒。有关沙盒的规定,香港证监会也是相当严苛。那这样的话,对于能够具体进入沙盒的交易所能够做什么,其实也不是很清晰。
目前到底香港哪一家交易所可以拿到牌照,现在并不是非常清晰。同时即使拿到了牌照,能够做什么样的业务,也不是很清晰。
美国的tZero已经拿到STO的交易所牌照,也有同时一些其他交易所可以成为第一个STO,但是交易所的交易量以及交易品种依然低下,所以目前的这个监管并不是完全解决问题,但是毕竟是往很重要的方向走了一步。[2019/11/6]
在本次攻击中,
独家 | 创世资本:2018年下半年重点关注海外项目:区块链行业发展中,不同的投资机构之间投资逻辑不同,在不同的投资阶段,每个投资机构的选择也不相同。对此,创世资本CEO丰驰在接受金色财经独家采访时指出:“区块链行业发展的非常快,整体市场情况也在不断变化,不同的阶段,创世资本的投资逻辑也会有相应的变化;在2017年中,区块链行业真正开始兴起,还处于一种野蛮生长的状态,当时项目数量很少,在项目稀缺的情况下,最重要的事情就是能够投进去;而到了2017年底,出现了大量的项目,就要开始调整策略,挑选优质的项目进行投资;在2018年上半年,经历了半年的熊市行情包括三月份以来的破发潮,创世资本进行了深入的分析和思考以后有了更加明确的定位,所以在投资逻辑上,我们也有了比较明显的变化,比如严格把关项目质量、重点关注海外项目、布局行业生态以及为项目方提供资金外的价值输出。”[2018/8/3]
攻击者的地址为:0xDFD78a977c08221822F6699AD933869Da6d9720C
独家 | 庞氏局游戏盛行 热度赶超加密猫:区块链项目评级机构RatingToken最新数据显示,近日庞氏局游戏盛行,且正在大量吸收ETH。此外,2018年7月19日全球共新增11743个合约地址,其中360个为代币型智能合约。
据RatingToken团队发布的“新增代币型智能合约风险榜”,排名第10的MOFO 3D,其代码与最近非常火爆的Fomo3D十分相似,Fomo3D是一个具有明显庞氏局特征的游戏。Fomo3D的热度已经超过CryptoKitties,截止发稿时,投入游戏的ETH已经超过了7000个。RatingToken安全团队认为,MOFO 3D的出现表明,类似局的模仿者或将大量出现。
其他登上该风险榜TOP10的还包括CuLeaderToken、Ten Billion Center、CryptoPonies、PW.GL、Codex Record、RHOC、IToken、Easy Enjoy Coin和CryptoAssetDB。如需查看更多智能合约检测结果,请访问RatingToken官网。[2018/7/20]
攻击合约的地址为:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
被攻击的合约为“VaultPinkBNB”,其地址为:0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
具体在合约“VaultPinkBNB”中,出现漏洞的代码为“getReward()”函数,函数完整代码如下:
函数中具体出现漏洞的代码片段为:
上述代码片段在计算奖励时,_minter.performanceFee(cakeBalance)传入的参数cakeBalance是CAKE代币的余额。攻击者可以在调用getReward前将闪电贷借入的CAKE转入VaultPinkBNB合约,导致产生非预期的performanceFee值,而_minter.mintFor()则根据这个非预期的performanceFee值增发超额的PINK奖励代币。然后攻击者将PINK在Pancake上卖出换为BNB和CAKE,一部分偿还闪电贷,剩余部分则为本次攻击的获利。
这类由项目之间的相互分叉而导致漏洞传导的事件已经不是第一次发生,我们相信未来这类漏洞还会发生。
单就本次攻击及漏洞的来源来看,灵踪安全强烈建议,所有分叉自PancakeBunny或与PancakeBunny同源的项目都应再次审查项目代码是否存在类似的漏洞,对代码进行安全审计。
如果从本次漏洞出现的模式看,所有分叉自其它项目的项目都应提高警惕。这类具有同源性质的多个项目,无论其漏洞本身隐藏得多么深,但只要发生一次、被业界公开,其它的同源项目都应该引起警示并马上着手整改。因为此类漏洞一旦被披露,理论上项目方是有足够的时间来修正问题的。只要项目方在漏洞发生的第一时间对本项目代码进行二次审计和测试,本项目受到后续攻击是完全可以避免的。
因此灵踪安全再次提醒项目方,尤其是分叉自其它项目的项目方,每当同源项目受到攻击时,应立刻着手对本项目代码进行再次审计,避免项目重蹈覆辙。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
作者:
灵踪安全CEO谭粤飞
美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。