本文由“灵踪安全”原创,授权“金色财经”独家发布。
8月19日,BSC上的收益聚合项目PineconeFinance的保险库受到黑客攻击,损失约350万没PCT代币。
截至写稿时为止,项目方已经针对此次攻击中受损的用户发布了补偿计划:项目团队及投资人共持有491万枚代币,将用所有代币补偿用户。
尽管此次攻击受损的金额相对近期动辄千万、上亿美元的金额不算太大,但这起攻击事件还是给我们留下了值得吸取的经验和教训。
这次攻击出现漏洞的地方在于转账过程使用的代币有损耗,而合约对这个损耗没有处理好于是就导致漏洞出现从而被黑客攻击。
在正常状况下,用户之间转账代币的时候,如果代币在转账过程中没有损耗,处理起来是比较简单的。但如果某些代币在转账过程中会出现损耗,则处理这类代币的转账就要非常小心了。
常州市政府印发数字人民币试点工作方案:7月1日消息,近日,常州市政府印发《常州市数字人民币试点工作方案》,在全市扎实推进数字人民币试点工作,深化拓展试点领域和场景,完善数字人民币支付生态,建立数字人民币应用生态圈。根据《方案》,2023年,全市力争实现数字人民币钱包数量突破100万个、对公钱包超8万个,至少新增6万个商户(门店)受理数字人民币,以数字人民币发放工资的单位至少500个,以数字人民币发放财政资金至少3亿元,以数字人民币发放小微企业贷款至少15亿元。力争到2025年底基本形成服务便捷高效、应用覆盖面广、生态较为完善的数字人民币运营管理体系。[2023/7/1 22:12:27]
在Pinecone项目中,其代币PCT是作为资金池的质押代币,在其合约设计的代币转账过程中会有手续费的损耗。而项目将这个损耗计入了用户的份额中,于是用户份额和质押的PCT总额就会出现偏差。这个偏差就能被攻击者用来领取多余的奖励。
独家 | 褚康:全球市场避险情绪严重 但BTC仍未被主流资金认可:针对加密货币市场大跌,犇睿资本创始人褚康在接受金色财经独家采访时表示,肺炎疫情在全球范围内蔓延;美国股民不认可美联储的降息使得美股持续大幅度下跌;欧佩克组织与俄罗斯并未就石油减产达成协议,欧佩克报复性提高原油产量,盘面上原油期货跌超20%。受此影响,全球避险情绪非常浓厚。虽然黄金跳高上涨,但黄金作为避险资产的共识非常强烈,比特币目前还未被主流资金认可为避险资产,仍属于高风险资产。
近日有些机构发布了相关研究报告,寄希望于各国央行降息和QE,叠加比特币减半周期来临,预判未来比特币会迎来长牛,我认为不一定正确。全球央行放水,资金也不一定会流入到比特币市场,比特币要受到更多资金的认可,还需要区块链技术的长久发展和落地应用来证实,同时也需要比特币来证明自身拥有更强的稳定性和价值存储的作用。短期内不能指望比特币减半的行情,主要还是受全球金融不确定性因素影响,场内没有大资金能拉的起来,也没有资金有意愿在这个时候去抬升比特币市值。同时,据我们多方统计调研,场外大资金短期内还并不认可比特币的减半逻辑。阵痛都会有,危机既是“危”也是“机”,应该静候疫情危机后的“机会”。稳健的投资者应该短期观望为主,做好加密资产的合理仓位配置。[2020/3/9]
具体而言,本次攻击存在漏洞的合约有:
独家 | 金色财经2月22日挖矿收益数据播报:金色财经报道,据印比特数据显示,按照BTC参考价格67550元、电价0.38元/kWh计算,当前在售主流BTC矿机的市场价格及回本周期为:阿瓦隆1066-50T(全新现货6300元,241天回本)、神马M20S-68T(全新现货12600元,277天回本)、芯动T3+-57T(全新现货9700元,312天回本)、蚂蚁S17Pro-56T(全新现货12500元,342天回本)。[2020/2/22]
PineconeFarm合约,其地址为:
0x4099f27fb72788b7bb5cb64e3d2b865eb82d0f8f
farm合约使用的策略合约IPineconeStrategy,其地址为:
0x1e542DB46eb87cc8E5fA8e1856eC53F89dc4bC89
独家 | 犇睿资本创始人褚康:比特币行情有特定的运行规律 不受中国股市左右:针对“A股走势对比特币行情的影响”问题,2月5日,犇睿资本创始人褚康接受金色财经独家采访时表示,受疫情影响,鼠年首个交易日,三大指数开盘集体下跌,上证综指跌8.73%,深成指跌9.13%,创业板指跌8.23%。三大指数的集体下跌带动包括比特币在内的多数币种的一波急拉与下砸,但是比特币本身有自身独特的走势特点,比如春节假期期间录得30%以上的涨幅,大幅度跑赢上证指数。这次比特币受疫情影响的波动从一定层面上表现出了比特币是有资金流入的,无论是否具有避险属性,还是大宗商品的投资投机属性,比特币都有特定的运行规律。这个规律,不是中国股市来左右的。当然,短期的涨幅必定会带来一定的回调,但幅度肯定不会很大。并且有望在减半利好和市场流动性增加的推动下,突破下降趋势线,再度迎来上涨。[2020/2/5]
PCT代币合约,其地址为:
独家 | 陈云峰:加密领域对投资者保护与发行主体资质规范稍显不足:据路透消息,泰国证券交易委员会(SEC)周三宣布,数字货币发行规定将于7月16日生效。泰国SEC在一份声明中表示,数字货币的发行人必须是依据泰国法律注册的公司,并且具备向机构投资者、超高净值投资者、风险投资和私募股权公司提供无限资产的能力,但它们只能向散户投资者提供最高30万泰铢(约9050美元)的数字货币。中伦文德律师事务所高级合伙人陈云峰在接受金色财经独家采访时指出,一方面,这意味着泰国监管部门对于加密货币的监管态度趋严,通过设置投资者准入门槛、发行人资质要求等,让加密货币投资领域“有法可依”;另一方面,投资者的风险承受能力不同,而加密货币投资市场同样存在一定的风险,因此针对投资者设定一定的准入门槛,也是投资者保护的需要。投资额度和投资者的财务状况、专业知识、风险承受能力有关,而发行人应适当采取KYC措施,对投资者进行背景调查和风险提示。一般来说,在金融投资领域,对于适格投资人都有明确的法律规定,如设定个人资产标准、投资领域等,通过这些门槛以起到维持金融市场的稳定,而加密货币投资同样属于投资领域,相较于传统金融领域,对于投资者保护和发行主体资质的规范稍显不足,而金融秩序必须以稳为前提,因此在投资者保护方面,可以参照传统金融领域的规范。[2018/7/6]
0x6019384a802310117a6E889e7021d2d0A144fE50
漏洞涉及的相关代码片段为:
PineconeToke的_transfer()函数:
在这里,PineconeToken的transferFrom的调用了_transfer()函数,在_transfer()中用户转账会收取手续费,因而实际到账的金额比transferFrom传入的amount值要小。
PineconeFarm合约的deposit()函数:
在上述代码中,PineconeFarm将存入的PCT质押到IPineconeStrategy合约中获取收益。通过使用BSC的vm?trace工具,可以发现这个IPineconeStrategy是一个VaultRabbitCake合约。PineconeFarm对用户份额share的计算会用到_wantAmt。而这个_wantAmt和下面的函数片段又有关联。
策略合约的deposit()函数
从上述代码可以看出,在计算sharesAdded时,其分母是wantTotal,而wantTotal依赖balance()。balance是关联的总锁仓PCT余额。由于实际的PCT余额小于deposit传入的金额_wantAmt,这就会造成用户份额在计算时增加了。
最后,当攻击者调用withdraw函数时,只要输入比deposit值大的参数就可以赎回超过质押数的PCT代币。
按照这个机制,黑客在攻击时,可以重复重复调用deposit和withdraw功能,从而导致合约质押的PCT损耗不断增加、资金池持有的PCT余额不断变小。然后在计算奖励时,由于使用资金池中的余额作为分母,而分母越小,则可额外领取的奖励就越多。
了解了代码的漏洞及相关机制后,我们再来看黑客诸多攻击中的一次攻击:
这次攻击中,黑客的地址为:0xfc6682db7e9f57882e8b18ebc9adc7a19f770494,其交易流程如下:
可以看出第一笔交易0xe446f质押了8.1万PCT,然后在0x76d33提取奖励时却提取了16万PCT。
我们继续查看withdraw交易的参数,可以看出传入amount值为22603495a2af5d0ccc34,将其转换为10进制数就是16万,远超质押金额8.1万。详细细节如下图所示:
从这次攻击的漏洞原因看,在转账时有损耗的代币在参与收益类项目时,存在较多的问题。因此灵踪安全提醒项目方要充分考虑损耗对收益计算的影响。
对此类问题,灵踪安全一直以来都会在审计时特别和项目方强调。另外我们也再次强调审计在项目中的重要性,希望项目方在项目上线前充分做好审计工作。
关于灵踪安全:
灵踪安全科技有限公司是一家专注区块链生态安全的公司。灵踪安全科技主要通过“代码风险检测+逻辑风险检测“的一体化综合方案服务了诸多新兴知名项目。公司成立于2021年01月,团队由一支拥有丰富智能合约编程经验及网络安全经验的团队创建。
团队成员参与发起并提交了以太坊领域的多项标准草案,包括ERC-1646、ERC-2569、ERC-2794,其中ERC-2569被以太坊团队正式收入。
团队参与了多项以太坊项目的发起及构建,包括区块链平台、DAO组织、链上数据存储、去中心化交易所等项目,并参与了多个项目的安全审计工作,在此基础上基于团队丰富的经验构建了完善的漏洞追踪及安全防范系统。
作者:
灵踪安全CEO谭粤飞
美国弗吉尼亚理工大学(VirginiaTech,Blacksburg,VA,USA)工业工程硕士(Master)。曾任美国硅谷半导体公司AIBTInc软件工程师,负责底层控制系统的开发、设备制程的程序实现、算法的设计,并负责与台积电的全面技术对接和交流。自2011至今,从事嵌入式,互联网及区块链技术的研究,深圳大学创业学院《区块链概论》课程教师,中山大学区块链与智能中心客座研究员,广东省金融创新研究会常务理事?。个人拥有4项区块链相关专利、3本出版著作。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。