買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 酷幣 > Info

GAL:慢霧:pGALA 事件根本原因系私鑰明文在 GitHub 泄露_MIN

Author:

Time:1900/1/1 0:00:00

據慢霧區情報,11月4日,一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%。慢霧分析結果如下:

1.在pGALA合約使用了透明代理模型,其存在三個特權角色,分別是Admin、DEFAULT_ADMIN_ROLE與MINTER_ROLE。

慢霧:靚號黑客已獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限:10月11日消息,據慢霧區情報,靚號黑客地址之一(0xf358..7036)已經獲取到ParaSwap Deployer和QANplatform Deployer私鑰權限。黑客從ParaSwap Deployer地址獲取到約1千美元,并在QANplatform Deployer地址做了轉入轉出測試。慢霧MistTrack對0xf358..7036分析后發現,黑客同樣盜取了The SolaVerse Deployer及其他多個靚號的資金。截止目前,黑客已經接收到超過17萬美元的資金,資金沒有進一步轉移,地址痕跡有Uniswap V3、Curve、TraderJoe,PancakeSwap、OpenSea和Matcha。慢霧MistTrack將持續監控黑客地址并分析相關痕跡。[2022/10/11 10:31:05]

2.Admin角色用于管理代理合約的升級以及更改代理合約Admin地址,DEFAULT_ADMIN_ROLE角色用于管理邏輯中各特權角色,MINTER_ROLE角色管理pGALA代幣鑄造權限。

慢霧:Badger DAO黑客已通過renBTC將約1125 BTC跨鏈轉移到10 個BTC地址:12月2日消息,Badger DAO遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。據慢霧MistTrack分析,截止目前黑客已將獲利的加密貨幣換成 renBTC,并通過renBTC 將約 1125 BTC 跨鏈轉移到 10 個 BTC 地址。慢霧 MistTrack 將持續監控被盜資金的轉移。[2021/12/2 12:46:11]

3.在此事件中,pGALA代理合約的Admin角色在合約部署時被指定為透明代理的proxyAdmin合約地址,DEFAULT_ADMIN_ROLE與MINTER_ROLE角色在初始化時指定由pNetwork控制。proxyAdmin合約還存在owner角色,owner角色為EOA地址,且owner可以通過proxyAdmin升級pGALA合約。

動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]

4.但慢霧安全團隊發現proxyAdmin合約的owner地址的私鑰明文在Github泄漏了,因此任何獲得此私鑰的用戶都可以控制proxyAdmin合約隨時升級pGALA合約。

5.proxyAdmin合約的owner地址已經在70天前被替換了,且由其管理的另一個項目pLOTTO疑似已被攻擊。

6.由于透明代理的架構設計,pGALA代理合約的Admin角色更換也只能由proxyAdmin合約發起。因此在proxyAdmin合約的owner權限丟失后pGALA合約已處于隨時可被攻擊的風險中。

綜上所述,pGALA事件的根本原因在于pGALA代理合約的Admin角色的owner私鑰在Github泄漏,且其owner地址已在70天前被惡意替換,導致pGALA合約處于隨時可被攻擊的風險中。

Tags:MINADMGALALA郭家毅gemini女友染染照片adm幣是什么價格GALI價格GalaxyPad

酷幣
CRY:Crypto.com:曾誤將 28.5 萬枚 ETH 發送至 Gate.io,隨后已協商退回_CRYPTO

據推特用戶@jconorgrogan發推稱鏈上數據顯示Crypto.com某地址曾于10月份將約28.5萬枚ETH轉入交易所Gate.io地址.

1900/1/1 0:00:00
ANC:MAP Protocol 聯合 AMA Studio、zkNFTex 將于今日舉辦香港金融科技周線下 VIP 活動,香港政商學界重量級嘉賓擬出席,支持香港 Web3 產業發展_MAPS

香港金融科技周期間,全鏈互操作協議MAPProtocol聯合AMAstudio及zkNFTex于11月5日下午6點在港舉辦“NextLegend:MAPHKontoWeb3”線下VIP活動.

1900/1/1 0:00:00
區塊鏈:深度研究:MEV 的過去、現狀與未來_ETH

原文標題:《ExtractableValue》作者:AmberGroup編譯:郭倩雯,ChainCatcher 導言 19世紀初,邁爾·羅斯柴爾德的五個兒子以法蘭克福為起點進行業務拓展.

1900/1/1 0:00:00
MOO:STEPN 團隊開發的 NFT 市場 MOOAR,能否超越 Magic Eden?_Easter Floki

原文標題:《ABriefHistoryofNFTMarketplaces:CantheSTEPNteam’sMOOARovertakeMagicEden?》 作者:ColJung? 編譯:Leo.

1900/1/1 0:00:00
KEE:剖析 BitKeep Business,一個 Web3 生態開放平臺的樣本_BIT

撰文:Aaron 來源:Foresightnews2022年剛好是微信公眾平臺10年,10年造就了一個開放的生態,讓微小的個體擁有了自己的品牌.

1900/1/1 0:00:00
LIBRA:知情人士:東南亞加密交易所 Zipmex 或將簽署超 1 億美元的救助計劃_加密貨幣市場分析圖

據TheBlock援引消息人士報道,東南亞加密貨幣交易所Zipmex或將簽署價值超過1億美元的救助計劃.

1900/1/1 0:00:00
ads