Im März 2022 verlor das BNB-Chain-Yield-Protokoll Paraluni etwa 1,7 Millionen $. Seine Einzahlungsfunktion akzeptierte einen unvalidierten, vom Nutzer bereitgestellten Token und hatte keinen Reentrancy-Schutz; der Transfer-Callback eines Fake-Tokens trat erneut in die Einzahlungslogik ein und mintete überschüssige Anteile, die der Angreifer einlöste.
Was geschah
Paralunis Pfad im Stil von depositByAddLiquidity vertraute vom Aufrufer bereitgestellten Token-Adressen und hatte keinen Reentrancy-Guard. Ein bösartiger Token trat mitten in der Einzahlung wieder ein, blähte den Anteilssaldo des Angreifers auf, der für reale Vermögenswerte (~1,7 Mio. $) eingelöst wurde.
Warum es wichtig ist
Paraluni ist der Fake-Token-+-Reentrancy-Zusammensetzungs-Bug (Akropolis, Grim Finance, Orion Protocol) — zwei fehlende Primitive (Token-Allowlist + nonReentrant), die einzeln überlebbar und gemeinsam ein vollständiger Drain sind. Bis März 2022 war genau diese Zusammensetzung über ein Jahr lang auf mehreren Chains demonstriert worden; Paraluni lieferte sie trotzdem aus. Es ist einer der reinsten Datenpunkte des Katalogs für "die Lösung sind zwei bekannte Einzeiler, frei verfügbar und übersprungen".
Quellen & On-Chain-Belege
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-paraluni-hack-march-2022
- [02]rekt.newshttps://rekt.news/paraluni-rekt