北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Cere Network宣布推出去中心化数据即服务Vision 2.0:10月21日消息,去中心化数据云平台Cere Network宣布推出去中心化数据即服务(DaaS)Vision 2.0,旨在将数据控制权还给用户和内容创作者,Vision 2.0将支持去中心化数据云(DDC)及其所支持的Cere工具和服务套件,包括Cere去中心化内容交付网络、NFT铸造平台Freeport、Cere通用钱包、Cere NFT市场和内容管理系统(CMS)、Cere去中心化数据查看器(DDV)、以及通用NFT/内容注册表、Cere实时体验构建器(RXB)、改进的SDK/加密/解密包、视频流等。[2022/10/21 16:34:29]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
Balancer论坛提议每周分配3000BAL用于“治理挖矿”项目:Coopahtroopa在Balancer论坛当中发起一项提案,建议发起“治理挖矿”项目。他建议在每周通过流动性挖矿分配的145000枚BAL当中提取3000枚BAL用于“治理挖矿”项目。该项目需要通过社区领导的治理委员会实施开展。[2020/11/25 22:03:07]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
现场 | Certik CEO Ronghui Gu:形式验证方法是实现计算机系统安全和隐私的可靠的方法:金色财经现场报道,NEO DevCon 2019开发者大会今日在西雅图举行,Certik CEO Ronghui Gu 做了以“建设可信的区块链生态”主题演讲。Ronghui Gu 表示,区块链目前是十分脆弱的,有许多执行上的漏洞。攻击区块链的受益也是巨大的,据统计截止到2017年已经有6.3亿美元的区块链资产被黑客盗取。智能合约对黑客开源,一旦执行很难去修改, 我们应该去避免区块链编程上的漏洞。程序的测试可以用于展示漏洞存在,但是它不能够去显示漏洞不存在。而形式验证的方法是目前唯一可靠的方法去实现计算机系统的安全和隐私,形式验证在数学上证明代码满足规范。[2019/2/17]
韩国区块链公司Certon在吉尔吉斯斯坦建立大型采矿中心:3月5日,开发电子文件认证平台“AstonProject\"的韩国区块链公司Certon宣布已在吉尔吉斯斯坦建立了一个大型采矿中心,以确保Hash Power支持Aston平台网络的稳定运行。Certon的常务表示预计将从4月份开始运营这个采矿中心,并将安装10,000台采矿设备,来解决早期Aston网络中节点短缺导致的一些问题,而且还将通过挖掘其他加密货币为进行盈利。[2018/3/5]
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
“波卡知识图谱”是我们针对波卡从零到一的入门级文章,我们尝试从波卡最基础的部分讲起,为大家提供全方位了解波卡的内容,当然这是一项巨大的工程,也充满了挑战.
1900/1/1 0:00:00QredoNetwork为数字资产提供改变游戏规则的基础设施。随着资产安全上升到许多投资者和建设者的首要议程,Qredo的架构为数字资产提供了行业领先的托管解决方案,在不牺牲控制的情况下具有完全.
1900/1/1 0:00:00过去一周,波场TRON各项目进展顺利,并取得了丰硕成果。 1、据官方消息,数字支付平台Wirex已支持TRX。2、据官方消息,金融服务公司Mercuryo已支持TRC20-USDC.
1900/1/1 0:00:00JustLendDAO于2022年8月31日调整了USDC市场的参数。调整之后,将大幅降低USDC市场的借款利息,提高USDC市场的资金使用率,用户参与USDC市场存款仍可获得高额存款APY.
1900/1/1 0:00:00原文作者:SangeetPaulChoudary原文标题:Web3competitiveadvantage:Winninginopenanddecentralizedecosystems在用户零.
1900/1/1 0:00:00Polkadot生态研究院出品,必属精品背景近年来,受全球疫情和经济形势波动的影响,中小微企业受到了较大的冲击,然而中小企业和民营企业在国民经济中一直以来都承担着相当重要的角色.
1900/1/1 0:00:00