CERT:CertiK：PAID Network攻擊事件還原

2021年3月5日，PAIDNetwork遭受了由于私鑰管理不善而引起的"鑄幣"攻擊。攻擊者使用代理合約私鑰，將原先經過CertiK審計的PAID合約代碼掉包，添加了銷毀和鑄幣的功能函數。因為PAID代幣已達上限，攻擊者先銷毀了6000萬枚PAID代幣，然后再重新鑄造了59,471,745枚PAID，并通過Uniswap出售。CertiK團隊第一時間和PAID?Network團隊溝通調查，確認了原代碼并無漏洞，攻擊事件是由私鑰泄露導致的。目前CertiK團隊仍無法確認私鑰泄露的原因，但已經可以將整個攻擊過程還原。?PAID事件時間線

eBay收購數字ID認證公司Certilogo:金色財經報道，eBay今天宣布已完成對Certilogo的收購，Certilogo是一家提供人工智能驅動的服裝和時尚商品數字ID和身份驗證的公司。該交易的財務條款并未披露。這家總部位于米蘭的公司將繼續由首席執行官Michele Casucci領導。[2023/7/12 10:49:32]

2021年3月5日，PAID遭受了持續約30分鐘的攻擊。通過鏈上分析，CertiK團隊總結了攻擊的時間線及操作步驟如下：第一步：合約所有權被轉移給了攻擊者，此時攻擊者在得到私鑰后就已經完全獲得了代理合約的控制權。第二步：攻擊者利用代理更新合約，添加了銷毀和鑄幣的功能函數。第三步：攻擊者銷毀了6000萬枚PAID，留出鑄幣空間。第四步：攻擊者開始鑄幣，并向Uniswap傾銷PAID代幣以換取以太幣。最后，本次事件并沒有攻擊智能合約的代碼本身，而是通過某種渠道獲得了代理合約的私鑰。CertiK在審計報告中的PTN-10章節提出了:AmbiguousFunctionality以及其他章節強調了PAID合約中心化的問題。總結

CertiK：Curve Finance黑客攻擊事件被盜61.2萬美元的穩定幣:8月10日消息，據CertiK監測顯示，Curve Finance中已有包括USDC和DAI在內價值61.2萬美元的穩定幣被盜并發送到EOA 0x50f9，并被兌換成ETH。被盜原因為黑客部署了惡意合約并攻陷Curve Finance DNS指向惡意站點，當個人與黑客合約交互時，用戶的資金將被發送到黑客錢包。到目前為止，黑客已經從錢包中轉出362.8枚ETH。ETH被轉移到Tornado Cash（27.7 ETH）、FixedFloat（292 ETH）、幣安（20 ETH） 和兩個EOA - 0xcDd3和0x4547（23.1 ETH）。[2022/8/10 12:15:32]

2021年3月5日，攻擊者獲得PAID代理合約私鑰，替換原有代碼，添加了銷毀和鑄幣的功能函數。攻擊者之后銷毀了6000萬枚PAID代幣，留出鑄幣空間。最后，鑄造了59,471,745枚PAID，并通過Uniswap出售了2,401,203枚代幣。客觀來看，本次攻擊事件中攻擊者并沒有找到任何原合約的漏洞，而是直接獲得了代理合約私鑰。當合約的可升級性作為項目的預期功能而存在時，它在智能合約中確實有其存在的價值。而這種類型的功能要求合約所有者以及部署者在確保代碼基本安全的同時，同樣必須保證私鑰的安全。CertiK將會在未來更多地強調并關注中心化及私鑰保護等相關問題。

Certihash 與 IBM 合作開發企業區塊鏈安全工具套件:金色財經消息，Certihash宣布了一個基于美國國家標準與技術研究院 (NIST) 網絡安全框架開發“Sentinel Node”的項目，這是一套由五個區塊鏈授權的企業實用程序應用程序中的第一個。Certihash 選擇 IBM Consulting 來協助軟件設計和開發。作為該項目的一部分，IBM Consulting 將使用經過驗證的網絡設計框架，并利用他們在向企業提供去中心化應用程序方面的豐富經驗，致力于最先進的去中心化網絡安全基礎設施。該應用程序的 MVP 版本計劃于 2022 年初秋推出。（finextra）[2022/4/28 2:37:35]

復制下方鏈接至瀏覽器，查看CertiK于2021年1月24日為PAIDNetwork出具的審計報告：https://certik.org/projects/paidnetwor

Tags：CERTPAIERTPAIDcertik幣價PAINT價格manitosupertokenPAID幣

UNI