以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > DOT > Info

ETH:鑄幣疑云:Paid Network被盜細節分析

Author:

Time:1900/1/1 0:00:00

消息顯示,以太坊?DApp?項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000?ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

Curve或存在ERC-777相關安全隱患,官方回應稱相關池已棄用:8月2日消息,今日,安全團隊Decurity發現Curve平臺另一安全漏洞。Curve在一部分代幣市場的智能合約中使用了ERC-777 Callback,而這一用法存在安全隱患,可能會被重入攻擊。Decurity還指出,一MEV機器人已利用此漏洞進行了一筆1900美元的攻擊。Curve官方回應稱,該問題屬于舊的 pBTC 礦池問題,該池早已被棄用,但在合約中仍剩余少量資金。

目前尚不清楚是否有其它資金池存在類似安全隱患。[2023/8/3 16:14:48]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

Poloniex已上線FERC和BERC代幣:據官方消息,Poloniex交易所已于香港時間2023年6月5日20時開啟FERC交易,并于同日21時開啟BERC交易。

據悉,FERC是erc20.cash平臺上的第一個代幣,Fair ERC-20(簡稱FERC20)為ETH網絡公平分發代幣提供了新的解決方案。Fair BERC20(BERC)則在以太坊智能合約中實施了基于BRC-20的序號以改善公平發行。[2023/6/5 21:17:20]

但是,事實真是如此嗎?

Horizen 宣布推出其首個 EVM 兼容的側鏈 Horizen EON:4月21日消息,支持區塊鏈零知識網絡的公鏈 Horizen 宣布在永久性公共測試網 Gobi 上推出 Horizen EON,這是其首個公開的權益證明和 EVM 兼容的智能合約側鏈。除了推出 EON 側鏈外,Horizen 還與 Immunefi 合作開展了一項漏洞賞金計劃,為報告漏洞提供高達 75000 美元的獎金,以加強 EON 平臺的安全性和完整性。[2023/4/21 14:17:53]

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:INTETHCURMINPRINT價格eth官網登錄入口PAXCURVEgemini為什么不當教練了

DOT
Optimism:亮哥論幣:3/7 以太坊行情分析和操作策略

行情分析: 以太坊日內行情偏相遇多頭趨勢,出現一個漲停后,下行觸及1522一線開始反彈,價格也是打破區間震蕩的行情,破位上行至布林帶上軌一線,后續行情承壓于1597一線.

1900/1/1 0:00:00
RST:比特幣驚險頭肩頂 三角區間頂部突破失敗!

BTC: 1、行情在今日震蕩最終再次形成小型三角區間,行情短期運行進入三角區間尾部,晚間幣價向上突破失敗最終觸及壓力點向下進行回撤到達下軌支撐.

1900/1/1 0:00:00
INSUR:3.7比特幣以太坊行情分析

  通往成功的路都是曲折的,而一旦走反,則將會失去方向,進入了循環,行情也同樣如此,趨勢是一定的,但是絕對不會簡單地朝著預定方向一直走,期間會出來曲折而動搖人的內心,這時候就需要好的心態來面對.

1900/1/1 0:00:00
SEA:  東哥論幣:2021年3月6日凌晨比特幣行情分析與操作策略

  東哥論幣:2021年3月6日凌晨比特幣行情分析與操作策略  十年磨一劍,漲跌皆有因,多空不戀戰,入袋方為安.

1900/1/1 0:00:00
INC:劉磊盯盤:3.7-3.8黃金 原油趨勢性回調長線看空

原油周線來看上方壓力在67.75一線,上方二線壓力在68.20一線,下方支撐在65.60一線,下方二線支撐在64.90一線,下方三線支撐在64.40一線,日線來看,上方壓力在66.90一線.

1900/1/1 0:00:00
NAN:3.07 BTC多單成功斬獲2000余點

上午給出的行情分析,建議回踩49000附近多單入場,目標50000-51000,止損48500,17:00大餅插針突破51000一線關口至51141.44一線.

1900/1/1 0:00:00
ads