区块链技术博客
www.b2bchain.cn

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

第24618篇文章SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析,说明解释了SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析,是很好的区块链入门技术文章网站,提供了相应的代码的进行解释,并且把原理说的很清晰

北京时间9月20日凌晨,pNetwork跨链项目遭到黑客攻击,黑客利用BSC上pBTC的代码漏洞,窃取了277枚BTC,损失价值高达1270万美元。 

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

SharkTeam第一时间对此事件进行了攻击分析和技术分析,并总结了安全防范手段,希望后续的区块链项目可以引以为戒,共筑区块链行业的安全防线。

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

以其中一笔交易进行分析:

https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6 整个攻击写在攻击合约的构造函数中,并在攻击完成后调用selfdestruct()函数销毁合约,使得无法看到攻击合约的细节内容。通过交易的事件(Event)并结合PToken合约源码可知,攻击者首先以amount:0,userData:0x,underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

随后通过攻击合约发送多个Redeem(_msgSender(), amount, underlyingAssetRecipient, userData) event事件。

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

触发的redeem事件都是向攻击者的多个比特币地址转账相同数量1.38个左右的bitcoin,这是跨链攻击中重要的环节。

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

以其中的一个比特币地址查询,可查到相同数量的bitcoin到账。

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

通过pToken的介绍可知,跨链转账中只是通过查询相关的deposit或redeem事件这种方式来确定btc的转账地址与数量,并没有进行其他的检查!使得黑客利用这一漏洞,在BSC上触发多次redeem事件,窃取大量的BTC。。

二、安全建议

SharkTeam提醒您,在涉足区块链项目时请提高警惕,选择更稳定、更安全,且经过完备多轮审计的公链和项目,切不可将您的资产置于风险之中,沦为黑客的提款机。

SharkTeam作为领先的区块链安全服务团队,为开发者提供智能合约审计服务。智能合约审计服务由人工审计和自动化审计构成,满足不同客户需求,独家实现覆盖高级语言层、虚拟机层、区块链层、业务逻辑层四个方面近两百项审计内容,全面保障智能合约安全。

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析

SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析 由www.b2bchain.cn 提供
文章整理自网络,只为个人学习与分享使用
链接地址https://www.b2bchain.cn/24618.html

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » SharkTeam独家分析 | 合约漏洞:pNetwork被黑事件分析
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们