Paraluni被攻擊事件分析：一張支票提款兩次的作案_PAR:SPARTA價格

北京時間2022年3月13日上午9:04，CertiK安全技術團隊監測到Paraluni'sMasterChef?合約遭到攻擊，大約170萬美元的資金通過多筆交易從該項目中被盜。

下文CertiK安全團隊將從該項目的操作及合約等方面為大家詳細解讀并分析。

合約地址

Masterchef合約:?https://bscscan.com/address/0xa386f30853a7eb7e6a25ec8389337a5c6973421d#code

Bequest Finance完成275萬美元融資，Nyca Partners領投:金色財經報道，Bequest Finance宣布完成275萬美元新一輪融資，金融科技風險投資公司Nyca Partners領投，NBA達拉斯獨行俠隊老板馬克·庫班和其他一些金融科技公司參投。通過創建非托管分配軌道來支持合規的數字資產信托和法律法律程序，Bequest Finance旨在簡化信托和遺產中的比特幣等數字資產轉移流程，律師也可以使用其工具處理相關案件，繼而解決不合規保管客戶私鑰的問題。（businessupturn）[2023/7/5 22:18:16]

攻擊者部署了兩個惡意的代幣合約UGT和UBT。

區塊鏈支付公司Partior完成由渣打銀行牽頭的A輪融資:金色財經報道，區塊鏈支付技術公司Partior宣布完成A輪融資，本輪融資由渣打銀行全資附屬公司SCOHL領投，SCOHL同意按每股認購股份2.573美元認購于Partior的認購股份，總認購價為2333.28萬美元，以收購Partior 25%股權。創始股東摩根大通、星展銀行和淡馬錫參投。交易金額尚未披露，正等待監管部門批準。這家新加坡初創公司正在開發基于區塊鏈的銀行間支付網絡，并有望支持八種貨幣美元、新加坡元、英鎊、歐元、澳元、日元、離岸人民幣和港元。每家銀行都負責網絡上自己的節點，渣打銀行將成為歐元結算銀行之一。[2022/11/3 12:13:45]

在UBT代幣合約中，有兩個惡意的函數實現：

DeFi初創公司Common完成2000萬美元融資，Spark Capital和Polygon等參投:金色財經報道，DeFi初創公司Common完成2000萬美元融資，Spark Capital、Polychain、Jump、Wintermute、BitDAO 等參投。得益于這筆最新融資，Common 將推動開發 DAO 社區管理平臺“Commonwealth”，幫助 DAO 輕松部署治理合約、發布融資計劃、增加聊天互動功能。現階段，“Commonwealth”已在dYdX、Axie Infinity、NEAR、Solana、BitDAO和 Polygon等項目的 700 多個去中心化社區中擁有超過 60,000 名活躍用戶。（decrypt）[2022/5/24 3:38:57]

????1.在"transferFrom()"函數中，攻擊者實現了對MasterChef的"deposit()"函數的調用，以存入LP代幣。

????2.一個"withdrawAsset()"函數，將調用Masterchef的"withdraw()"來提取存入的LP代幣。

攻擊階段:

攻擊者利用閃電貸獲得了156,984BSC-USD和157,210BUSD。

攻擊者向ParaPair發送通過閃電貸獲得的BSC-USD和BUSD代幣，并收到155,935枚LP代幣作為回報。

然后，攻擊者調用"depositByAddLiquidity()"函數，將LP代幣存入資金池。

???????1.在調用此函數時：輸入參數“_pid”為18，“_tokens”為。

????????2.因為depositByAddLiquidity()會調用“UBT.transferFrom()”函數,因此MasterChef.deposit()函數會被觸發并且向合約存入155,935LP代幣。

???????3.因此,155,935LP代幣被存入了兩次并且攻擊者獲得了兩份“userInfo”的記錄(一次是從UBT,另一次是從攻擊者的合約）。

最后，攻擊者提取了兩次:

???????1.?第一次是通過函數“UBT.withdrawAsset()”。

???????2.另一個是來自攻擊者對“Masterchef.withdraw()”函數的調用。最后，攻擊者刪除了流動資金并返還了閃電貸。

`depositByAddLiquidity()`函數通過調用`addLiquidityInternal()`函數，觸發了傳入惡意代幣的“transferFrom”函數，進而導致了重入的問題。因此，同一份LP代幣被存入兩次。

BNB仍然在攻擊者在BSC的地址中，235個ETHs則通過Birdge轉移到以太坊，并通過Tornado進行洗白。

時刻關注函數的外部輸入，盡量避免傳入合約地址作為參數。

關注外部調用，為所有可能出現重入危險的外部調用函數加上“nonReentrant”修飾函數。

本次事件的預警已于第一時間在CertiK項目預警推特進行了播報。

除此之外，CertiK官網https://www.certik.com/已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

Tags：PARTERCOMSTESPARTA價格Internet of PeopleHoDooi.comistep幣上交易所了嗎

以太坊交易