合約漏洞：pNetwork被黑事件分析_RAI:RED

合約漏洞：pNetwork被黑事件分析

北京時間9月20日凌晨，pNetwork跨鏈項目遭到黑客攻擊，黑客利用BSC上pBTC的代碼漏洞，竊取了277枚BTC，損失價值高達1270萬美元。?

SharkTeam第一時間對此事件進行了攻擊分析和技術分析，并總結了安全防范手段，希望后續的區塊鏈項目可以引以為戒，共筑區塊鏈行業的安全防線。

BiSwap：已檢測并解決Migrator合約漏洞，請勿與訪問該合約，用戶資金安全:7月1日消息，BSC跨鏈交易平臺BiSwap今日凌晨在推特上表示，團隊檢測并解決了Migrator合約漏洞。Biswap V2和V3 AMM協議上的資產是安全的。團隊阻止通過網站訪問遷移過程，因為Migrator合約已被利用，不要試圖直接訪問本合約，如尚未這樣做，請撤銷對這些合約的批準。正在更詳細地審查此漏洞的結果，后續將發布報告。用戶資金是安全的，上述漏洞與AMM V2和V3資金無關。[2023/7/1 22:12:23]

一、事件分析

RAI Finance因ChainSwap合約漏洞被盜超70萬枚RAI代幣:官方消息，基于Polkadot區塊鏈的跨鏈交易協議RAIFinance表示因跨鏈資產橋ChainSwap合約漏洞，被盜取707133枚RAI代幣，團隊表示被盜數額與RAIFinance目前的總市值相比并不大，提醒社區避免恐慌，將持續監控此問題并嘗試維持RAI代幣的價格。另外，RAIFinance表示由于這是第二次因Chainswap智能合約安全問題造成的攻擊，將考慮更換跨鏈橋接合作伙伴。[2021/7/11 0:43:10]

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

智能合約漏洞賞金平臺Immunefi為88mph提供4.2萬美元賞金:智能合約漏洞賞金平臺Immunefi宣布接入DeFi固定利率生成協議88mph（MPH），經評估后為88mph提供42,069美元最高等級的漏洞獎金。[2021/2/2 18:42:26]

以其中一筆交易進行分析：https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整個攻擊寫在攻擊合約的構造函數中，并在攻擊完成后調用selfdestruct()函數銷毀合約，使得無法看到攻擊合約的細節內容。通過交易的事件并結合PToken合約源碼可知，攻擊者首先以amount:0，userData:0x，underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作為輸入數據委托調用redeem函數。

隨后通過攻擊合約發送多個Redeem(_msgSender(),amount,underlyingAssetRecipient,userData)event事件。

觸發的redeem事件都是向攻擊者的多個比特幣地址轉賬相同數量1.38個左右的bitcoin，這是跨鏈攻擊中重要的環節。

以其中的一個比特幣地址查詢，可查到相同數量的bitcoin到賬。

通過pToken的介紹可知，跨鏈轉賬中只是通過查詢相關的deposit或redeem事件這種方式來確定btc的轉賬地址與數量，并沒有進行其他的檢查！使得黑客利用這一漏洞，在BSC上觸發多次redeem事件，竊取大量的BTC。

二、安全建議

SharkTeam提醒您，在涉足區塊鏈項目時請提高警惕，選擇更穩定、更安全，且經過完備多輪審計的公鏈和項目，切不可將您的資產置于風險之中，淪為黑客的提款機。

Tags：RAISWAPREDBSCORAIAnyswapJARED價格BSCBAY

幣安交易所app下載