本文由“灵踪安全”原创,授权“金色财经”独家发布。
8月25日,BSC链上的收益聚合应用Dot.Finance受到闪电贷攻击。受本次攻击事件的影响,项目代币PINK在短时内发生暴跌,从0.77美元跌至0.5美元。
这次攻击事件中有两点值得我们注意:
一是闪电贷再次成为黑客的工具,将攻击的后果放大。
二是本次攻击与前阵子PancakeBunny受到的攻击同源。
关于“闪电贷”,我们已经在往期的文章中多次介绍:它不是攻击的元凶而只是攻击利用的手段。本文特别想强调的是第二点,也就是本次攻击与PancakeBunny的同源性。
我们在本文所说的“同源”通俗的理解就是本项目出现的漏洞与PancakeBunny一样。为什么会这样呢?原因就在于Dot?Fiance是分叉自PanacakeBunny的代码,而在分叉复制的过程中,项目方或许是因为疏忽,或许是因为其它原因,并没有对代码进行详细审计,以致PancakeBunny代码中的漏洞也一并复制过来了,而没有得到修正。
独家 | Johnson:从历史数据来看本轮市场下行周期,就是检测比特币是不是避险资产:今日,在针对“比特币不是疫情的避险资产,而是法币增发的避险资产,是时候买比特币了。”这样的论断?”的问题,TokenInsight 首席分析师 Johnson在金色财经独家采访时表示,7000亿美元量化宽松计划仅仅是一个开始。我们认为比特币目前还不是避险资产,当全球陷入恐慌时,投资者会最先套现流动性最高,质量最好的资产,例如股票,黄金,比特币,和避险不避险没有太大关系。因为这个时候是现金为王。从历史数据来看本轮市场下行周期,就是检测比特币是不是避险资产,是哪种避险资产的关键。尽管近期比特币市场出现了大跌,但是我们仍然长期看好数字资产市场,并且认为牛市终将到来。[2020/3/16]
由于本次攻击与PancakeBunny具有同源性,因此我们有必要首先回顾一下PancakeBunny此前受到的攻击情况,这些攻击事件具体如下:
独家 | 金色财经2月8日挖矿收益播报:金色财经报道,币印矿池数据显示,2月8日,主流币挖矿日收益分别为:BTC(¥1.13/T)、ZEC(¥0.42/T)、LTC(¥22.05/G)、BSV(¥1.16/T)、BCH(¥1.22/T)、DASH(¥0.14/G)。
当前市场占有率较高的矿机及收益分别为:神马M20S(BTC,¥47.05)、蚂蚁Z11(ZEC,¥42.66)、LTC(芯动A4+,¥6.83)。[2020/2/8]
2021年5月20日,PancakeBunny第一次遭遇攻击
2021年5月26日,PancakeBunny第二次遭遇攻击
2021年7月17日,PancakeBunny在Polygon上的版本遭外部攻击
独家 | 短期市场仍面临重要阻力抑制价格上涨:金色财经报道,针对“BTC价格后市展望”问题,2月5日,OKEx投研总监K爷接受金色财经独家采访时表示,从技术分析角度看,当前BTC价格已经突破长达半年的震荡下行调整趋势,目前中长期的上涨(多头)拥有优势,上涨仍有一定空间。
但短期走势面临一定压力,当前价格受阻于9950美元附近,MACD和成交量都与对应价格呈现出顶背离(价格再创新高,而成交量和MACD都未能对应再创新高),这是典型的上涨动能减弱现象。
当前BTC多空持仓人数比为1.79,从整体数据曲线看,但前数据处于较高范围,接近下跌预警范围1.8—2.0区间,数据预示BTC存在一定的回调风险。
基本面上,BTC、BCH等奖励减产仍是市场热议话题,也是BTC、BCH潜在上涨动力的核心推动力,Google等搜索“比特币”关键词也有明显增长,市场存在潜在资金伺机而动。
总和技术面、数据面、基本面等客观分析,我认为短期市场仍面临重要阻力抑制价格上涨,多头上涨动能需要横盘或下跌方式获得休整蓄力。短期关键支撑参考9188美元(OKEx BTC季度合约价格),短期阻力9950美金(OKEx BTC季度合约价格)。
中长期走势,以技术分析和潜在炒作概念看,仍有继续上涨潜力和空间。中长期的多空分水岭以8420美金(OKEx BTC季度合约价格)为参考,若价格维持在8420之上,仍是多头优势格局,保持上涨潜力和趋势;若价格有效跌穿8420之下,则可判断后市上涨无望,此轮行情宣布结束或失败。
以上观点仅为个人分析,不作为投资决策依据。[2020/2/5]
本次DotFinance受到的攻击则与PancakeBunny第二次遭受的攻击是相同的漏洞。具体地说,DotFinance分叉复制了PancakeBunny的收益聚合部分,但没有修正其隐藏的漏洞。
独家 | 昨日新增188个代币型智能合约 FoMoKiller long风险最高 ?:第三方大数据评级机构RatingToken最新数据显示,2018年8月19日全球共新增1375个合约地址,其中188个为代币型智能合约。
?
在RatingToken同时发布的“新增代币型智能合约风险榜”中,FoMoKiller long(FoMoKiller)、Okami PK Soon(tm) Edition(Okami)和Partners.RPK.Capital_USD_2.0(RPK_USD_2.0)风险排名前三,其中FoMoKiller long(FoMoKiller)检测得分1.5,存在22个安全风险。此外,此风险榜TOP10的其它合约还有BitLion Token(BOON)、DECENTURION Classic(DCNT)、Render It Coin(RNDIT)、Moonlight Token(LX)、zxl(朱学龙)、Yan Bo Coin(YBC)和
Scepter Advanced Blockchain Enterprise Rewards(SABER)。如需查看更多智能合约检测结果,请点击原文链接。[2018/8/20]
灵踪安全对本次事件的详细分析如下:
金色独家 肖磊:SEC想把加密货币裁定为证券的目的在于限制ICO:
今年,美国证券交易委员会(SEC)开始大范围的对加密货币进行调查,判断其是否应该视为证券进行监管。5月7,有消息称SEC与CTFC开会讨论了ETH是否为证券的问题。6月15日,SEC官员William Hinman公开表示BTC与ETH不是证券。但是,根据Howey Test(豪威测试),当前市值靠前的其他几大加密货币,比如瑞波币(XRP)等依然有可能被SEC认定为证券。
金色财经就加密货币如果被裁定为证券所产生的影响,对区块链资深市场分析师肖磊进行了采访。肖磊认为,如果定性为证券,首先就面临着从发行、承销、投资人资格审核、增持减持、事后监管等方面,纳入到证券法的监管范畴,这个对这类数字货币的影响是巨大,因为在没有赋予任何受益权的情况下,还要面临如此严厉的监管,很多投资者可能就会跑掉。但我觉得完全将除比特币和以太币之外的数字货币定性为证券的可行性也存疑,因为这是一种新型的资产形态,需要新的监管逻辑。目前证交会想把数字货币定义为证券的目的,实际上很简单,就是为了限制ICO。因为目前看,没有人能保证ICO本身是出于什么目的,但确实是一种公开募资的行为,这一点让监管机构非常头疼,因此才想直接把这种代币发行归类到证券。
所以我个人认为对一些中心化比较明显的币,SEC的政策会有很大影响,但对于一些中心化较弱的币,反而可能是一个利好,因此一旦把诸多币定性为证券,监管加强,很多资金会流入到一些没有被定义为证券的币种上。[2018/6/19]
在本次攻击中,
攻击者的地址为:0xDFD78a977c08221822F6699AD933869Da6d9720C
攻击合约的地址为:0x33f9bB37d60Fa6424230e6Cf11b2d47Db424C879
被攻击的合约为“VaultPinkBNB”,其地址为:0xbfca3b1df0ae863e966b9e35b9a3a3fee2ad8b07
具体在合约“VaultPinkBNB”中,出现漏洞的代码为“getReward()”函数,函数完整代码如下:
函数中具体出现漏洞的代码片段为:
上述代码片段在计算奖励时,_minter.performanceFee(cakeBalance)传入的参数cakeBalance是CAKE代币的余额。攻击者可以在调用getReward前将闪电贷借入的CAKE转入VaultPinkBNB合约,导致产生非预期的performanceFee值,而_minter.mintFor()则根据这个非预期的performanceFee值增发超额的PINK奖励代币。然后攻击者将PINK在Pancake上卖出换为BNB和CAKE,一部分偿还闪电贷,剩余部分则为本次攻击的获利。
这类由项目之间的相互分叉而导致漏洞传导的事件已经不是第一次发生,我们相信未来这类漏洞还会发生。
单就本次攻击及漏洞的来源来看,灵踪安全强烈建议,所有分叉自PancakeBunny或与PancakeBunny同源的项目都应再次审查项目代码是否存在类似的漏洞,对代码进行安全审计。
如果从本次漏洞出现的模式看,所有分叉自其它项目的项目都应提高警惕。这类具有同源性质的多个项目,无论其漏洞本身隐藏得多么深,但只要发生一次、被业界公开,其它的同源项目都应该引起警示并马上着手整改。因为此类漏洞一旦被披露,理论上项目方是有足够的时间来修正问题的。只要项目方在漏洞发生的第一时间对本项目代码进行二次审计和测试,本项目受到后续攻击是完全可以避免的。
因此灵踪安全再次提醒项目方,尤其是分叉自其它项目的项目方,每当同源项目受到攻击时,应立刻着手对本项目代码进行再次审计,避免项目重蹈覆辙。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
作者:
灵踪安全CEO谭粤飞
美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。