Paraluni攻擊事件分析_PAR:DEPO

1.前言

北京時間2022年03月13日，知道創宇區塊鏈安全實驗室監測到BSC上Paraluni項目遭到攻擊，黑客獲利約170萬美金。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析。

2.分析

2.1基礎信息

攻擊者地址：0x94bc1d555e63eea23fe7fdbf937ef3f9ac5fcf8f

攻擊者合約：0x4770b5cb9d51ecb7ad5b14f0d4f2cee8e5563645

攻擊交易哈希：0x70f367b9420ac2654a5223cc311c7f9c361736a39fd4e7dff9ed1b85bab7ad54

ParaFi從coinbse10小時前從Coinbse轉出7000枚ETH:金色財經報道，據Scopescan監測，10小時前，ParaFi從Coinbse提取了7000枚ETH并轉移到Galaxy Digital相關地址。[2023/8/24 18:19:42]

Masterchef合約：0xa386f30853a7eb7e6a25ec8389337a5c6973421d

UBT代幣合約：0xca2ca459ec6e4f58ad88aeb7285d2e41747b9134

UGT代幣合約：0xbc5db89ce5ab8035a71c6cd1cd0f0721ad28b508

Cosmos將舉行Launch Party，將首次演示IBC代幣的跨鏈傳輸:據官方消息，Cosmos宣布將于太平洋夏季時間3月29日下午12點（北京時間30日凌晨3點）舉辦 Launch Party，在為期 3 個小時的時間里，將首次啟用跨鏈通信，以激活 IBC 代幣的跨鏈傳輸，具體來說，將實時 demo 演示代幣如何通過 Cosmos Hub 傳輸代幣來演示 IBC 的工作原理，使用 Keplr 傳輸 IBC 代幣或使用 Hermes 中繼器對各鏈進行連接的方法。此外，在該 Launch Party 上，團隊還將討論到目前為止白皮書和 Roadmap 1.0 的歷程、IBC 世界中 Interchain 環境布局是什么樣以及 IBC 的直接用例。[2021/3/28 19:23:38]

2.2項目背景

加拿大交易所NDAX將支持Flare Network的Spark（FXRP）空投:加拿大加密貨幣交易所NDAX將支持Flare Network即將進行的Spark（FXRP）代幣空投。FXRP與XRP數量一比一發放，將在快照后直接發送至用戶的錢包。8月12日，Flare宣布，所有能夠申領Spark代幣的XRP地址的快照將于12月12日完成。在EVM的幫助下，Flare試圖將智能合約引入XRP，同時利用以太坊網絡進行構建。（U.Today）[2020/9/20]

Paraluni項目是新加坡ParallelUniverse基金會發布的一個基于幣安智能鏈的匿名項目，用戶可以通過與masterChef合約交互進行質押代幣獲取流動性收益。

聲音 | V神：再次恭喜Sparkpool礦池為繆爾冰川升級揭幕:在以太坊完成“繆爾冰川（Muir Glacier）”升級后，以太坊創始人V神發推稱，再次恭喜Sparkpool礦池為繆爾冰川升級揭幕！據此前消息，在12月8日以太坊完成伊斯坦布爾升級后，V神曾在推特上恭喜Sparkpool礦池挖出此次升級的首個區塊。Eth.Btc.com數據顯示，過去24小時，Sparkpool礦池以33.97%的算力占比位列第一；Ethermine礦池算力占比為24.28%，排名第二，兩大礦池控制了58.25?%的以太坊網絡算力。注：以太坊今日下午16:30分左右已達到原定“繆爾冰川”升級區塊高度9200000，升級已激活。本次“繆爾冰川”硬分叉解決方案旨在再次延遲難度炸彈，硬分叉升級后，在400萬個新區塊被開采出來之前，難度炸彈將會被凍結，這意味著以太坊至少未來幾年內不會受到難度炸彈的威脅。[2020/1/2]

2.3攻擊流程

為了使得攻擊流程更加清晰，我們將本次攻擊分為兩個階段進行分析。

USDT和BUSD向對應的ParaPair添加流動性，獲得155,935枚ParaluniLP代幣到UBT合約中。此時獲取的Lp代幣為后續的攻擊提供重要支持。

核心攻擊階段

1.調用MasterChef合約中的depositByAddLiquidity函數，傳入參數為_pid:18,_token:,_amounts:，表示向18號池子添加1個UGT和1個UBT的流動性。?

2.然后內部調用depositByAddLiquidityInternal函數，該函數的主要作用是調用addLiquidityInternal函數去鑄造LP代幣，然后調用_deposit函數存入LP代幣到用戶地址。但是函數并未校驗用戶傳入的_tokens和池子編號為_pid的tokens是否匹配，這就造成攻擊者能夠利用自己創建部署的惡意代幣進行后面重要操作。

3.depositByAddLiquidityInternal再內部調用addLiquidityInternal函數，該函數通過合約中LP代幣余額變化計算出需要deposit的數量。

4.其中當addLiquidityInternal函數調用到paraRouter.addLiquidity時，會調用攻擊者在預攻擊階段部署的UBT代幣合約中的transferFrom函數完成添加流動性操作。

但該惡意合約改寫transferFrom后會調用MasterChef的deposit()函數將預攻擊階段第三步獲取的LP代幣轉入masterChef中，此時的masterChef中LP余額已經變化，然后會調用_deposit函數存入LP代幣到用戶地址,此時獲取第一份LP代幣。

然后加上惡意合約的transferFrom調用deposit()時也會調用_deposit函數存入LP代幣到用戶地址，就相當于獲取了兩份LP代幣。

5.攻擊者分別調用UBT合約中的withdrawAsset函數和利用攻擊合約調用Mastechef合約中的withdraw函數提取兩份相同的LP到攻擊合約中；

6.最后移除流動性獲取31萬枚BSC-USD和31萬枚BUSD，然后歸還閃電貸完成攻擊。

3.漏洞核心

本次的攻擊主要是MasterCheif合約中的depositByAddLiquidity函數并未校驗用戶傳入的_tokens和池子編號為_pid的tokens是否一致，且外部調用時并未考慮到重入問題添加重入鎖，最終導致攻擊者能夠傳入外部惡意代幣合約進行重入攻擊。

4.總結

知道創宇區塊鏈安全實驗室在此提醒，任何有關deposit等操作都需要慎重考慮，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：PARTERPOSIDEPOThe Paradox MetaverseEATER幣posi幣最新消

Bitcoin