DODO:合约漏洞：pNetwork被黑事件分析

作者：

时间：1900/1/1 0:00:00

合约漏洞：pNetwork被黑事件分析

北京时间9月20日凌晨，pNetwork跨链项目遭到黑客攻击，黑客利用BSC上pBTC的代码漏洞，窃取了277枚BTC，损失价值高达1270万美元。?

SharkTeam第一时间对此事件进行了攻击分析和技术分析，并总结了安全防范手段，希望后续的区块链项目可以引以为戒，共筑区块链行业的安全防线。

DODO因vDODO合约漏洞暂时禁用vDODO合约转账功能:10月21日消息，去中心化交易平台DODO称，近期一位白帽黑客向DODO团队报告了vDODO合约中的一个漏洞，此漏洞可能被用来降低vDODO持有者的推荐质押权益，影响用户的潜在质押收入，不过用户拥有的vDODO资产不受影响。当前，DODO团队暂时禁用了vDODO合约的转账功能，以规避攻击活动，目前正在寻找解决方案。[2022/10/21 16:33:49]

一、事件分析

https://bscscan.com/address/0x2bf5693dd3a5cea1139c4510fdce120cf042c934

一地址通过adidas NFT智能合约漏洞绕过限购抢到330个NFT，获利约60万美元:12月24日消息，据Sprise联合创始人Montana Wong在推特上透露，虽然阿迪达斯此前设定adidas NFT销售上限为每人最多2件，但有人利用漏洞绕过此限制在单次交易中购买了330个。

据悉，在销售活动启动之前几个小时部署了一个新智能合约，该智能合约执行后可以生成165 个子智能合约，每个子智能合约能给分别从阿迪达斯的智能合约中铸造2 个 NFT，然后再将它们转移到创建者的主ETH 地址上。由于每个子智能合约都有一个唯一地址，因此创建者能够绕过每人 2 个NFT销售限制，将 NFT 发送到创建者的主地址后，子智能合约会自动销毁。这个智能合约的创建者一共支付了 27.3 ETH的 gas 费用来执行相关交易，另外还支付了 66 ETH来购买adidas NFT，理论上目前该智能合约创建者已经获利约60万美元。[2021/12/24 8:02:33]

以其中一笔交易进行分析：https://bscscan.com/tx/0xe79e3ff4ef01a29475e6387a44c550df3e4c0a80177249bfdc9bbd66376b9ff6?整个攻击写在攻击合约的构造函数中，并在攻击完成后调用selfdestruct()函数销毁合约，使得无法看到攻击合约的细节内容。通过交易的事件并结合PToken合约源码可知，攻击者首先以amount:0，userData:0x，underlyingAssetRecipient:3LngKgsXQAnm5cLP43PZUGGvMau9uUzhky.作为输入数据委托调用redeem函数。

DAO ventures因ChainSwap合约漏洞被盗30万枚DVG代币:据官方消息，DeFi资产管理平台DAO ventures因跨链资产桥ChainSwap合约漏洞，被盗取30万枚DVG代币。DAOventures称已经对攻击前的DVG持有者和LP进行快照，并表示对受影响的代币持有者将会实施补偿。DAOventures团队表示，用户在DAOventures的资产是安全的，在补偿方案公布之前，DAOventures提醒用户暂时不要购买交易的DVG并关注团队的最新动态。[2021/7/11 0:43:12]

Coinbase奖励发现其智能合约漏洞的公司一万美元:据cointelegraph，根据今天公布的一份报告，Coinbase在发现奖励了发现其智能合约漏洞的荷兰公司一万美元。该漏洞允许用户在窃取无限的ETH。近一年来，Coinbase一直面临持续的技术难题。自2017年年中，新用户大量涌入以来，Coinbase的技术能力已经被过度消耗，导致资金延迟和缺失，系统中断以及其他问题。[2018/3/22]