本文來自BlockSec,Odaily星球日報經授權轉載。8月12日,根據DAOMaker電報群用戶反饋,該項目疑似遭到黑客攻擊,價值700萬美元的USDC被黑客提取至未知地址。BlockSec團隊經過分析后發現,該事件的起因是私鑰泄露或者內部人士所為。攻擊過程
根據我們的交易分析系統我們發現,攻擊的過程非常簡單。攻擊交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者錢包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻擊者合約;0x0eba461d9829c4e464a68d4857350476cfb6f559:中間人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合約創建者。
The Block研究主管:幣安鏈無法威脅以太坊:The Block研究主管Larry Cermak在推特上發文分享自己對幣安鏈看法,他表示:我們都知道,長期來看,幣安鏈無法威脅以太坊,但以太坊社區的人現在似乎有些緊張,請冷靜,深呼吸,激勵機制會發揮作用。為什么幣安鏈現在看起來不錯,回想起來,這似乎不可避免,散戶投資者希望在DeFi中押注,但大多數人都覺得以太坊費用太高。但幣安鏈最大問題是沒有去中心化,一切都由幣安建立和資助,幣安鏈費用低廉是因為幣安資金雄厚,而且他們會上線吸引人的東西(暗指代幣)。[2021/2/20 17:33:10]
聲音 | Blockstack用戶增長負責人:公司未來將不再主導硬分叉升級:1 月 27 日,Blockstack 的用戶增長負責人 Patrick Stanley 在官網上發布了一篇《那些通過 Blockchain.com 活動來到 Blockstack 社區的朋友,歡迎你們》,總結了去年 Blockstack 與 Blockchain.com 的合作。Patrick 表示,這次合作僅僅是與 Blockchain.com合作起步,后續預計還會與 Blockchain.com 的瀏覽器和錢包合作。最值得關注的是,Patrick表示,剛剛結束的硬分叉升級,會是 Blockstack PBC 主導執行的最后一次升級。[2020/1/31]
攻擊者XXX調用受害者錢包合約的函數查詢用戶余額,然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作,因此通常需要對調用者的身份做校驗。我們通過分析發現,攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。這里的問題就變成為什么攻擊者能具有相應的權限?通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
現場 | dForce&Blockpower創始人楊民道:創造新貨幣需要穩定、買賣流動性支持:金色財經現場報道,9月19日,橙皮書主辦的“Defi的中場危機”在上海進行。dForce&Blockpower創始人楊民道在現場指出:如何用第一性原理創造新貨幣,應該具備的條件是:交易媒介—穩定、買賣流動性支持;價值儲藏—相對穩定性、獲得收益;記賬單位—穩定、法定定價權。楊民道還指出,貨幣持有人的動機包括:消費-OTC,方便快捷的支付;投資-幣幣現貨、期貨、穩定幣;儲藏-被動收益(保本 抗通脹);信用-借貸(可用資產抵押借貸)。此外,他個人認為Libra,創新一個貨幣是可行的,因為其已經有廣泛的用戶群,也許Libra最終會選擇美元進行錨定。[2019/9/19]
韓國推出首個美容醫療區塊鏈項目‘BeautyBloc’:2月5日全球整形財團韓國地區負責人柳忠健在首爾舉辦的區塊鏈交流會上宣布,正式推出韓國首個美容醫療區塊鏈項目‘BeautyBloc’。BeautyBloc是通過區塊鏈技術來解決機構或醫生的信息不透明化、非法冒充、產品服務、假冒偽劣產品、虛假廣告、服務價格的不確定性、有限的營銷渠道、缺乏管理和監督以及消費者權益等醫療美容行業面臨的諸多問題。[2018/2/9]
0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限,那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢?繼續追蹤,我們發現它的admin權限是由另外一筆交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。然而我們發現,受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。
總結一下,整個的流程是:
那問題就來了,為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢?這里有兩個可能性。第一個0x054e是內鬼,第二個就是私鑰泄露。其他
另外一個有趣的點就是攻擊者的合約是開源的,代碼簡單易懂,可以作為學習合約開發的啟蒙教程。
但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用?最后
最近區塊鏈安全接連出現大的安全事件,包括PopsicleFinance雙花攻擊分析和PolyNetwork攻擊關鍵步驟深度解析,損失在幾百萬美金到數億美金之間。項目方如何提高安全意識,保護好代碼安全和資產安全,正是BlockSec團隊希望和社區一起能解決的問題。只有把安全做好,DeFi的生態才能更健康有序發展。
Tags:BLOCLOCBLOLOCKblockchain安卓PLOCK價格blockchainappPDX Blockchain
8月30日-9月5日當周,明星項目進展中值得關注的事件有:Arbitrum上線主網測試版本;MatterLabs推遲上線zkSync2.0;Fantom推出3.7億枚FTM激勵計劃;Loot引爆.
1900/1/1 0:00:00這些之前從未公開的數據,為我們揭開了一個加密貨幣世界低調巨頭的神秘面紗。FTX立志成為未來十年最具影響的公司之一.
1900/1/1 0:00:00研究機構:MintVentures研究員:許瀟鵬 第一節 研報要點 ——1.核心投資邏輯 Curve能在Defi協議的流動性爭奪大戰中穩居第二,坐擁超過100億美金的TVL.
1900/1/1 0:00:00導讀 NFT和實物收藏品的使用價值大相庭徑,且所有權的權利也相當有限。NFT造就了一個火熱的金融市場,數字資產底層的價值和藝術性被利益掩蓋.
1900/1/1 0:00:00平等和不平等是一個亙古常談的話題,平等需求是下層對上層的吶喊,就像錢鐘書《圍城》一書中的墻外人和墻內人一樣,城內的人覺得不公,想去城外,城外的人認為不等,想進城內.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 目前,在以太坊NFT收藏品交易垂直領域里,OpenSea絕對處于領先地位,但如果與頭部實物商品市場相比,OpenSea是否有實力抗衡呢?到目前為止.
1900/1/1 0:00:00