Back to Blog

并非所有代币都是好的:Paraluni 攻击快速分析

Code Auditing
March 13, 2022
3 min read

Paraluni项目于3月13日上午(UTC+8时间)遭到攻击。攻击者利用了两个漏洞攻击了该协议。第一个漏洞是未对传入的代币进行验证,第二个是传统的重入漏洞。攻击者发起了一系列攻击交易。接下来,我们将使用其中一笔交易 0xf2bba649019ce40a67f0fb74e5e800257d359d9094b6ba6faea14ffa4d3446b1 来说明整个攻击过程。

第一步:向paraRouter添加liquidity

攻击者调用了BTCB-WBNB池(索引=9)的addLiquidity,该池会将lp代币铸造给UBT(攻击者创建的代币)。在此操作之后,UBT代币持有该池的lp代币。请注意,BTCB和WBNB是从闪电贷借来的。

第二步:调用MasterChefdepositByAddLiquidity 攻击者调用了depositByAddLiquidity,将_pid设置为9,并将UGT和UBT代币作为参数。然而,该函数并未检查池子的储备代币是否与传入的代币(UGT和UBT)相等。

然后,该函数调用depositByAddLiquidityInternal,后者又调用了paraRouter的addLiquidity。该函数将调用UGT和UBT代币的transferFrom函数。然而,这两个代币由攻击者控制。在UBT的transferFrom函数中,攻击者调用了MasterChef合约的deposit函数,将第一步获得的LP代币存入MasterChef合约。

不幸的是,由于deposit函数中的余额变化,addLiquidity后的newBalance远大于oldBalance。通过这种方式,攻击者在MasterChef合约中获得了双倍的信用。

第三步:获利

攻击者最终调用了UBT.withdrawAssetMasterChef.withdraw来赎回lptoken以获取BTCB和WBNB。由于流动性的数量超出了攻击者应有的份额,因此攻击者将获得利润。

教训

除了重入问题之外,传入代币未经验证也是根本原因之一。我们已经在Visor案例Coin98案例中看到了类似问题的其他案例。

关于BlockSec

BlockSec是一家领先的区块链安全公司,由一群全球知名的安全专家于2021年创立。公司致力于提高新兴Web3世界的安全性和可用性,以促进其大规模采用。为此,BlockSec提供智能合约和EVM链安全审计服务,用于安全开发和主动拦截威胁的Phalcon平台,用于资金追踪和调查的MetaSleuth平台,以及供Web3构建者在加密世界中高效冲浪的MetaSuites扩展。

迄今为止,该公司已为MetaMask、Uniswap Foundation、Compound、Forta和PancakeSwap等300多家知名客户提供服务,并在两轮融资中获得了来自Matrix Partners、Vitalbridge Capital和Fenbushi Capital等杰出投资者的数千万美元。

官方网站:https://blocksec.com/

官方Twitter账号:https://twitter.com/BlockSecTeam

Sign up for the latest updates
~$800K损失:Hinkal双花攻击 | BlockSec周报
Security Insights

~$800K损失:Hinkal双花攻击 | BlockSec周报

本周安全报告涵盖2026年6月29日至7月5日1起重大事件,以太坊总损失约80万美元。Hinkal隐私池协议遭双重花费攻击,疑因旧版票据格式缺陷,攻击者从单笔存款中派生多个无效符。报告分析了电路层漏洞、攻击流程及对基于无效符隐私协议的影响。

简讯 - 2026年6月
Security Insights

简讯 - 2026年6月

本月报告涵盖2026年6月三起最大安全事件,确认损失共约2200万美元。一次精密蜜罐攻击利用未检查的代币授权,从JaredFromSubway的MEV机器人中盗取约1500万美元。两个旧版Aztec rollup部署因证明结算边界漏洞损失约435万美元。SecondFi的Ed25519实现缺陷导致钱包私钥泄露,374个钱包共损失约240万美元。三起事件有一个共同规律:表面完好但从未真正执行的安全保障。

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报
Security Insights

约400万美元损失:Taiko与SecondFi遭受攻击 | BlockSec周报

本周区块链安全报告涵盖2026年6月22日至28日的两起安全事件,确认损失约410万美元,涉及Ethereum和Cardano两条链。Taiko桥攻击中,攻击者利用泄露的SGX enclave签名密钥与attestation策略中缺失的属性验证,注册恶意prover并在Ethereum上伪造L2状态证明。SecondFi钱包漏洞源于Ed25519 nonce派生中的密码学实现缺陷,秘密输入被遗漏,使攻击者可从公开的Cardano链上交易数据离线恢复私钥。

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit