以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 聚幣 > Info

NCE:CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析

整個攻擊流程如下:①攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。

Espresso Sequencer測試網版本Doppio已對公眾開放:8月5日消息,Espresso Sequencer測試網版本Doppio已對公眾開放,本次公開發布主要包括兩方面內容:將Espresso Sequencer demo版本與Polygon zkEVM的分支公開發布,用戶可以向在去中心化的Espresso Sequencer上運行的Polygon zkEVM分支提交交易。;發布Doppio測試網的基準測試結果。[2023/8/5 16:20:10]

CertiK:此前Ankr攻擊者又向Tornado Cash存入700ETH:金色財經報道,據CertiK數據監測,此前的Ankr攻擊者又向Tornado Cash存入700ETH。[2022/12/24 22:05:25]

圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息②在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb

Aave DAO與Balancer進行100萬美元的代幣互換:金色財經報道,在7月19日成功結束的鏈上投票之后,Aave社區與其他DeFi協議Balancer進行了 100萬美元的代幣交換。Aave DAO將16,907個AAVE代幣換成200,000個BAL代幣,基準利率為1 AAVE兌換11.892BAL。[2022/7/21 2:27:04]

圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

FAMEEX上線新幣種BAL(Balancer):據官方消息,FAMEEX于2020年10月13日上線新幣種BAL(Balancer);平臺將于2020年10月13日16點開放BAL充值,18點開放提現業務;同時,將于10月13日18點開放BAL/USDT、BAL/BTC、BAL/ETH幣對交易。[2020/10/13]

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約③當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣④同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。

圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣⑤當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。

圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD總結

此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:BALCERTSDNCEFootballStarsDEFILANCERFingerprintsDAOY2B Finance

聚幣
LAYER:每個人都在談的Layer2到底是什么?

大家知道,在以太坊生態系統中,目前最大的挑戰就是低吞吐量和高gas費以及延遲這幾個問題。波卡和NEAR這類公鏈雖然號稱可以解決此類問題。但還看不到挑戰以太坊生態的苗頭.

1900/1/1 0:00:00
KEX:歐易OKEx投研|美三大股指期貨走高,助推比特幣市場情緒升溫

市場情緒:根據來自非小號的數據顯示,截止發稿前24小時全市場主要虛擬幣上漲家數占比64.60%,大幅多于下跌家數的35.40%,市場情緒明顯升溫.

1900/1/1 0:00:00
SDT:3.17行情分析:大盤V型反彈,但行情依然弱勢

本文來自:哈希派,作者:哈希派分析團隊,星球日報經授權轉發。 ZEC突破97美元關口 日內漲幅為3.12%:火幣全球站數據顯示,ZEC短線上漲,突破97美元關口,現報97.04美元,日內漲幅達到.

1900/1/1 0:00:00
ETHE:ETH周報 | AMD或將推出用于以太坊挖礦的顯卡;以太坊核心開發者正在制定ETH2.0合并最低技術規范(3.8-3.14)

作者|秦曉峰 編輯|郝方舟 出品|Odaily星球日報 一、整體概述 3月9日,ETCGroup在德意志 交易所 推出以太坊ETP,其代碼為ZETH.

1900/1/1 0:00:00
ECH:TechCrunch對話DFINITY:在開放互聯網熱潮中,創業者需要知道什么

2021年3月9日,TechCrunch將舉辦開放互聯網主題的線上活動,TechCrunch特約編輯MikeButcher將與DFINITY創始人DominicWilliams進行對話.

1900/1/1 0:00:00
比特幣:區塊鏈如何走向云端?

編者按:本文來自鏈新,作者:BartWyatt,Odaily星球日報經授權轉載。2009年1月3日,中本聰挖掘了比特幣創世區塊,啟動了本世紀以來最大的技術淘金熱.

1900/1/1 0:00:00
ads