北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①?攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
Paxos Treasury銷毀超過1.62億枚BUSD:金色財經報道,Whale Alert數據顯示,北京時間2月24日22:34:35,Paxos Treasury銷毀162,499,505枚BUSD。[2023/2/25 12:28:06]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
去中心化搜索初創公司Sepana完成1000萬美元融資:金色財經報道,去中心化搜索初創公司 Sepana 宣布完成 1000 萬美元融資,本輪融資由 Hack VC 和 Pitango First 領投,Protocol Labs、Lattice Capital 和 Balaji Srinivasan 參投。
Sepana 旨在通過其搜索工具使 DAO 和 NFT 等 Web3 內容更容易被發現,其開發的 API 可使去中心化應用程序與其搜索基礎設施集成。[2022/11/8 12:34:04]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
流動性聚合協議Magpie Protocol完成300萬美元種子輪融資:9月8日消息,去中心化流動性聚合協議Magpie Protocol完成300萬美元種子輪融資,Jump Crypto、ArkStream Capital、Sandeep Nailwal、GSR Markets、Parafi Capital、Republic Capital、Big Brain Holdings、Serafund、Faculty Group、MH Ventures、D1 Ventures、Apollo Capital等參投。[2022/9/8 13:16:56]
超過37%的企業表示他們目前正在使用區塊鏈和加密貨幣進行跨境交易:金色財經報道,根據PYMNTS和Algorand 合作的“Blockchain Payments Tracker”,超過 37% 的企業表示他們目前正在使用區塊鏈和加密貨幣進行跨境交易。此外,另外 13% 的受訪企業表示,他們希望為此目的使用加密貨幣。總共有 50% 的公司目前使用或希望使用區塊鏈和加密貨幣進行跨境支付。[2022/7/14 2:13:14]
②?攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①?修改了邏輯合約的存儲結構:
②?限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
來源:金色財經
Aptos和Sui是近期市場討論度很高的兩大公鏈,其原因不僅在于這兩個均來自Facebook的團隊都拿了高融資額,更在于他們都使用了Move編程語言對協議進行搭建.
1900/1/1 0:00:00“元宇宙”是當下最熱的概念,依托“元宇宙”衍生的數字藏品在國內不斷涌現出熱潮與活力。為順應這一數字消費趨勢,中國云臻焱數字藏品平臺即將上線試運行,開啟“元宇宙”初體驗.
1900/1/1 0:00:00你聽說過web3.0嗎?你感受到數字藏品的火熱了嗎?你想讓更多人看到你別具匠心的作品嗎?你想把它們記錄在鏈、進行數字化發行嗎?在收藏界,有個專屬名詞叫做溯源.
1900/1/1 0:00:007.28今日熱點 美聯儲將基準利率上調75個基點至2.25%-2.50%區間金色財經報道,美聯儲將基準利率上調75個基點至2.25%-2.50%區間,為連續兩次加息75個基點.
1900/1/1 0:00:00撰文:FYJ&0x711&czgsws,BlockBeats關于以太坊分叉的討論愈發火熱,合并日期臨近,超800T礦工算力歸屬全網關注.
1900/1/1 0:00:00原文標題:《TheCaseforSNXtogobacktoATHs》原文作者:SecretSalsa原文編譯:0x9F、0x214,BlockBeats 介紹 就像任何其他OGDeFi項目一樣.
1900/1/1 0:00:00