以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

TIK:CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析?

整個攻擊流程如下:

①?攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息

CertiK接近完成Orion Protocol主網預質押安全審計:據官方消息,CertiK已接近完成對交易所聚合平臺Orion Protocol主網預質押的安全審計,以確保在推出之前為用戶提供完整功能、穩定性及安全性。[2021/5/23 22:33:09]

②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

區塊鏈安全公司CertiK發布去中心化安全預言機:區塊鏈安全公司CertiK(CTK)發布基于CertiK鏈的去中心化安全預言機,旨在有效減少鏈上交易與實時安全檢測之間的距離,致力于運用去中心化的方法來解決安全難點。CertiK安全預言機可以應用于任何支持智能合約功能的區塊鏈平臺(如以太坊)。CertiK鏈在其業務區塊鏈上部署了安全預言機的公共入口,以接收來自DeFi應用程序的安全查詢,為即將進行的交易提供信息。用戶可以輕松訪問安全預言機、查詢即將進行的交易,并獲得實時的安全情報。另外,CertiK提出的解決方案都將使用CertiK鏈上的原生代幣CTK來維護預言機網絡的正常運轉。[2020/9/8]

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約

Bitfinex新投票系統允許為EOS Block Producers投票:據Coin Pedia消息,Bitfinex的新投票系統Bitfinex Ballot將允許EOS持有者在交易平臺上直接為EOS Block Producers投票。文章評論稱,這對于投票困難的EOS持有者和Block Producers來說無疑是一件好事,此外Bitfinex作為EOS Block Producers的主要候選對象,排名第12,如果保持這樣的投票速度,將確定其成為EOS BP。[2018/6/19]

③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣

④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣

⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD

智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:CERTIKcertikERTLanceriaPLASTIK價格certik幣價AmberTime Coin

歐易okex官網
BSV:關于”一U奪幣“新增DOT、FIL的活動公告

尊敬的EXX用戶: ???EXX將于香港時間2021年3月15日12:00”一U奪幣“新增DOT、FIL的玩法,1個USDT贏取10個DOT或10個FIL,參加人次越多.

1900/1/1 0:00:00
DEF:項目周刊 | V神:預計1個月左右將推出完全兼容EVM的Rollup

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是其中的項目周刊,帶您一覽本周主流項目以及明星項目的進展.

1900/1/1 0:00:00
USD:庫幣杠桿平臺新增DEGO交易對,享上線福利!

息 親愛的庫幣用戶, 為豐富杠桿交易區交易種類,庫幣杠桿平臺已上線DEGO資產與交易對,具體如下:新增可抵押資產:DEGO新增可借貸資產:DEGO庫幣杠桿大數據顯示:1INCH、UNI 等熱門D.

1900/1/1 0:00:00
Tornado.Cash:曉風:比特幣開啟暴跌之旅,大概率將會跌回4萬附近!

投資不是投機,風險不是冒險,你對自己負責了嗎?對自己的資金負責了嗎?不論在任何市場作為投資者,要學會對自己的資金負責.

1900/1/1 0:00:00
KEN:律師劉揚:以交易所為視角,探討幣圈刑勢

編者按:2020年12月,北京德恒律師事務所刑事專業委員會、福建省律協刑事專業委員會、廈門市律協刑事專業委員會聯合舉辦了“新時代背景下民營經濟的刑事法保護——互聯網金融領域刑事問題研究”研討會.

1900/1/1 0:00:00
ETH:3.14震驚!比特幣大漲后續走勢分析,今日以太最新分析解套

周彥靈:3.14震驚!比特幣大漲后續走勢分析,今日以太最新分析解套有理想的人是苦命的。我已經忘記了這是哪本書里的話了.

1900/1/1 0:00:00
ads