北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
哈佛大学肯尼迪学院教授提议对加密货币征税以应对环境破坏影响:1月5日消息,哈佛大学肯尼迪学院的研究员和讲师Bruce Schneier在1月4日的一篇博客文章中讨论了通过征税来使加密货币“脱碳”,他认为有必要迫使买家通过加密货币税来支付他们对环境的损害:“为了促使污染型加密货币减少碳足迹,我们需要迫使买家通过税收为其对环境的损害买单。”他特别强调,数字货币造成了全球约0.3%的二氧化碳排放。[2023/1/5 10:23:58]
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
加拿大帝国商业银行:加息100个基点可能还不在美联储计划之中:9月21日消息,在8月通胀数据超预期之后,9月美联储至少可以再加息75个基点,并承诺未来还会有更多加息。加息100个基点也很容易找到理由。FOMC中没有人认为利率不会在某个时候达到3.5%,美联储可以通过解释加息100个基点只是为了尽快将利率提高到所需水平来消除此举所带来的冲击,就像加拿大央行在加息100个基点后所做的那样。不过,美联储在利率水平低得多的时候否认加息100个基点的事实表明,加息100个基点可能还不在计划之中。[2022/9/21 7:11:39]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
Maker社区投票决定将法国兴业银行OFH代币作为抵押品:据官方消息,Maker近日表示,社区投票决定将OFH代币作为Maker Protocol的现实世界资产抵押品类型。据悉,OFH代币是由法国兴业银行的欧元计价担保债券支持的数字担保债券。
据此前报道,7月12日,Maker表示,Societe Generale数字资产子公司FORGE提出3000万DAI债务融资,治理将投票是否批准这项交易,并决定是否将OFH代币添加为一种新的现实世界资产抵押品类型。如果这个新的抵押品获得批准,Maker将向FORGE提供3000万DAI贷款。[2022/7/18 2:20:35]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
非托管AMM协议Voltz Protocol添加stETH和rETH交易池:金色财经消息,非托管AMM协议Voltz Protocol交易池上线Lido (stETH) 和Rocket (rETH) 两种质押 ETH,允许交易者通过锁定固定利率来降低自己的投资组合风险,每个池的流动性提供者保证金上限为150万美元,后续随着时间的推移,金额将逐渐增加。(Blockworks)[2022/7/2 1:45:59]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
日本交易所Liquid前员工爆料:存在管理混乱、安全漏洞和合规性不足等问题:5月17日消息,FTX近日收购的日本交易所Liquid的多位前员工爆料,Liquid工作场所混乱,公司行政内斗严重,安全性和合规性也存在问题。例如,消息人士称,Liquid高管们淡化了一些信息安全漏洞,没有披露其他漏洞,未能充分解决低级别的内部盗窃问题,并过早停止了对去年 9000 万美元黑客事件的调查。
此外,前员工表示,Liquid 购买了自己的 QASH 代币,以在 2018 年熊市的部分时间里维持价格,并在报告其交易量时重复计算交易。而且,高级管理层为 Telegram 从未发行的 GRAM 代币提供了借据,忽略了内部合规团队的担忧,Liquid 曾在此次发行中损失了数百万美元。(Coindesk)[2022/5/17 3:21:25]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
标签:ETHAUDTPSHTTtogetherbnb手游下载苹果AUDThttps://etherscan.iohtt币被
当前v3上的sAVAX供应上限为500ksAVAX,并在上市两周内达到。由于E模式的有效性,其中sAVAX只能用作借入AVAX的抵押品,建立在aAVAsAVAX(AAVEAvalanchesAV.
1900/1/1 0:00:00本周美联储将举行议息会议,彭博经济研究院的四位经济学家认为,加息75个基点达到了正确的平衡。加密市场近日上攻受阻,市场观望情绪浓厚,比特币后市预计维持震荡.
1900/1/1 0:00:00亲爱的Bankless老铁,加密货币一直处在不断发展的路径上,当一个科技创新率先领跑时,其他的项目和技术就会仅仅跟随其脚步。这就是我们现在看到的第二层网络的情况.
1900/1/1 0:00:00如果说速生速死是互联网的永恒特征,那在Web3的世界,生与死的轮换周期被压缩到了更极致:一个Web3项目从生到死可能只有短短半年、甚至更短.
1900/1/1 0:00:00目前最为出名的去中心化存储系统为IPFS和Arweave,本文将介绍几个代表性项目。原文标题:《去中心化存储将会如何发展?》撰文:?0xrabby随着Web3的发展,去中心化的存储一直都是资本和.
1900/1/1 0:00:00交易所持有的以太坊暴跌,因为质押者为合并做准备交易所的以太坊在TheMerge之前达到了四年低点,同时稳定流入网络的质押合约。昨天,在以太坊2.0创下历史新高后,交易所持有的以太坊跌至四年低点.
1900/1/1 0:00:00