以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

AUD:600萬美元損失 去中心化音樂平臺Audius攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。

大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。

攻擊步驟

①?攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。

Voyager(VGX)近1小時跌幅達17.65%,現報0.314383美元:金色財經報道,數據顯示,Voyager Token(VGX)現報0.314383美元,1小時跌幅達17.65%,24小時跌幅達10.29%。行情波動較大,請做好風險控制。

此前報道,Voyager收到幣安終止資產購買協議。[2023/4/26 14:26:40]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

OpenAI的CEO回應馬斯克:暫停AI研發的公開信缺少技術細節:金色財經報道,OpenAI的CEO Sam Altman回應:馬斯克等人呼吁將AI研發工作暫停六個月的公開信缺乏“技術細節”。我也認為,需要提高AI的安全指導意見。但公開信并非正確的解決之道。

此前消息,馬斯克帶頭簽署了一封呼吁暫停人工智能開發6個月的公開信。[2023/4/15 14:05:06]

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

加密薪資管理公司Franklin完成290萬美元種子輪融資:金色財經報道,加密薪資管理公司 Franklin 完成 290 萬美元種子輪融資,本輪融資由 Gumi Cryptos Capital 和 CMT Digital 共同領投。

Franklin 可以向包括美國在內的世界各地的員工和承包商支付加密貨幣。該項目建立在以太坊主網和 Polygon 上,為選擇的加密貨幣提供自動化工資支出和稅務申報的工具。[2023/4/4 13:44:36]

The Toxics項目Discord服務器遭到攻擊:金色財經報道,據CertiK監測,The Toxics項目Discord服務器遭到攻擊。請社區用戶在服務器修復之前不要點擊任何鏈接。[2023/2/7 11:51:20]

②?攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

漏洞分析

CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。

分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。

為了解決這個問題,Audius做出了相應調整:

①?修改了邏輯合約的存儲結構:

②?限制了可以調用initialize()函數的權限:

資金去向

攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

寫在最后

在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。

本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。

來源:金色財經

Tags:AUDETHTHEHTTSAUDI Miladytogetherbnb艾米莉攻略雙人互動togetherbnb破解版CHTT價格

火幣下載
比特幣:時間積累?加密冬季期間值得關注的 5 個行業

加密貨幣價格已跌至多年低點,引發了哪些子行業的哪些資產準備好積累的問題。 認為任何人都可以期待加密市場的低迷是很奇怪的,但這正是許多享受熊市期間存在的低壓環境的開發者和項目創建者所持有的立場.

1900/1/1 0:00:00
LANA:Aptos 會是下一個 Solana 嗎?

今日,Meta系區塊鏈初創公司Aptos宣布完成了1.5億美元A輪融資,該輪融資的領投方包括FTXVentures以及JumpCrypto,而在今年三月份.

1900/1/1 0:00:00
ETH:縱橫幣海:比特幣以太坊行情分析2022.7.31

投資上只有一個方向,不是做多,也不是做空,只有做對的方向。我是縱橫幣海,一個愿陪你東山再起的朋友。一個人能有多大的成就,要看他有誰指點。希望我能是你的伯樂,陪你度難關,與你共進退.

1900/1/1 0:00:00
ONE:何時抄底屯幣?

大家好,我是加密大魔王 什么時候是屯幣最佳時期啊?現在可以屯幣了嗎?這個問題跟什么時候可以抄底是一個道理,十分韭菜,反問一句,你準備好了嗎?不僅僅是資金,更多是心態上的準備,策略上的準備.

1900/1/1 0:00:00
區塊鏈:7月27日行情分析:如期反彈、反彈高度能否到位呢?

BTC日線今天在時間節點上出現了小的一個反彈,在昨天的問斬個里面也說了,小周期的時間,跌幅,刑天都有了,今天大概率時候有反彈的.

1900/1/1 0:00:00
WEB:“2022全球WEB3基建技術交流峰會”圓滿落幕

2022年7月27日,由Torah主辦,中國電子信息產業發展研究院、DATAWORLD基金會中國民協分布式存儲專委會特別支持;MO資本·美國、ZB.Com、JU.com、SparkLabs、分布.

1900/1/1 0:00:00
ads