CER:CertiK：自家客戶被盜了？一文還原Axion Network攻擊事件始末_ERT

在11月2日上線后僅幾個小時，AxionNetwork代幣AXN的價格暴跌了100%。這次價格暴跌披露了其存在的漏洞，下文是CertiK安全審計團隊針對此事件的完整分析。2020年11月2日北京時間晚上七時左右?，黑客利用AxionStaking合約的unstake函數設法鑄造了約800億個AXN代幣。黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣，重復此過程，直到Uniswap中ETH-AXN交易對的以太幣所被耗盡，同時AXN代幣價格降至0。在攻擊發生后的幾分鐘內，CertiK安全審計團隊獲知了該攻擊事件，并即刻展開了調查。CertiK安全審計團隊認為該攻擊極大可能是內部操作造成的，該內部操作通過在部署代碼時，對項目依賴的OpenZeppelin依賴項注入惡意代碼。被惡意利用的智能合約函數不屬于CertiK審核的范圍內。在將Axion項目代碼和OpenZeppelin依賴代碼結合并進行部署時，該惡意代碼隨著OpenZeppelin依賴代碼被注入到部署的項目中。攻擊預謀

韓國游戲巨頭Wemade與CertiK建立長期合作關系:1月6日消息，韓國游戲巨頭Wemade與區塊鏈安全機構CertiK簽署了一份諒解備忘錄，據諒解備忘錄的條款，Wemade和CertiK將建立長期的安全伙伴關系，并發起聯合營銷活動。CertiK將幫助Wemade提高WEMIX3.0生態系統的安全性和效率。[2023/1/6 10:58:14]

黑客在發動攻擊時使用的是前一天從tornado.cash?中獲取的匿名資金?，說明這是一次有預謀的攻擊。可能是以防攻擊失敗而節省一些資金，黑客賬戶在收到資金后，立即通過tornado.cash轉出了2.1個以太幣。作為本次攻擊的準備工作的最后一步，黑客從Uniswap交易所購買了大約70萬個HEX2T代幣?。然而，這些資金最終沒有參與到攻擊中，而是為掩護攻擊行為而放出的煙霧彈。攻擊準備

去中心化數據庫協議Ceramic添加對Solana的支持:金色財經報道，據官方推特消息，去中心化數據庫協議Ceramic宣布添加了對Solana的支持。在Solana上構建的開發人員現在可以將Ceramic的主權數據網絡用于跨鏈身份和動態數據。[2021/12/10 7:29:12]

在北京時間下午四時?，黑客先以數量為0和持續抵押時間為1天為參數調用stake函數，在AxionNetwork的抵押合同中創建“空”抵押。這為黑客創建了一個Session條目，其會話ID為6，數量為0，股價為0。此后，黑客預料到攻擊將會成功，因此向Uniswap交易所預先授權了無限制的AXN。隨后，他們批準了Axion的NativeSwap合約，以獲取即將轉換為AXN代幣的資金額。黑客在大約北京時間下午五時?調用了NativeSwap合約的deposit函數，然而黑客并未調用該合約的withdraw函數來獲取其交換得到的AXN，這在NativeSwap合約的swapTokenBalanceOf函數清晰可見。隨后，他們在執行攻擊前又調用了一次deposit函數，但是這次調用執行最終失敗。攻擊執行

自動做市協議Balancer新增TUSD流動性挖礦:據官方最新消息，自動做市協議Balancer在Polygon和Arbitrum同時新增TUSD流動性挖礦。用戶在Polygon向TUSD-DAI-USDC-USDT池提供流動性，可獲得BAL+TUSD+MATIC三種數字資產獎勵。Balancer 是一個自動化的投資組合管理器、流動性提供者和價格傳感器，用戶可通過跟蹤套利機會，優化投資組合。

TrueUSD作為首個經獨立機構驗證、接受鏈上實時獨立驗證、錨定美元的數字資產，目前已上線Binance、Huobi、Poloniex等100多家交易平臺，并在TRON、Avalanche、BSC、HECO等公鏈上進行多鏈部署, 深度參與各鏈DeFi生態建設。TrueUSD經全美最大會計公司Armanino實時審計，確保美元儲備與其流通比達到1:1，實現100%儲備，用戶可隨時通過官網獲取公開審計結果。[2021/11/16 6:54:00]

以上提到的交易僅僅是黑客為了掩護真正unstake攻擊的煙霧彈。由于黑客進行的交易未更改sessionDataOf映射，因此可以得出結論，這是一次多地址攻擊。為了找到可能導致sessionDataOf映射受到影響的原因，CertiK安全審計團隊在GitHub代碼存儲庫中審查了項目方與CertiK共享的合約源代碼。經過仔細驗證，團隊無法在stake函數之外檢測到對其或其成員的任何修改操作，這使得我們懷疑該項目智能合約是否被正確的部署。攻擊途徑

HOGT-DEX生態已通過Certik代碼審計:據官方消息，HOGT-DEX生態已通過美國Certik代碼審計。

CertiK區塊鏈網絡安全公司，由耶魯大學與哥倫比亞大學計算機學教授共同創立。旨在使用最嚴密和最徹底的網絡與軟件安全技術來識別并消除安全漏洞。截至目前，CertiK已進行了超過700次審計，審計了超過39.6萬行代碼，保護了超過300億美元的資產免受損失。

HOGT是基于火幣生態鏈的綜合性DeFi生態服務平臺，融合聚合收益、DEX、借貸等多板塊業務，致力于建設DeFi全生態服務系統。[2021/6/9 23:23:24]

在分析了已部署的Staking合約源代碼之后，CertiK安全審計團隊在Staking合約的已部署的源代碼?第665-671行發現了一處代碼注入，該代碼注入發生在被修改的OpenZeppelin庫中的AccessControl智能合約。鏈接中的checkRole函數不屬于OpenZeppelinv3.0.1的實現，而OpenZeppelinv3.0.1?在項目的GitHub代碼存儲庫中被列為依賴項。在checkRole函數中，存在以下assembly模塊：

韓國區塊鏈公司Certon.In參與日本虛擬貨幣'BaaSid’項目:今日（5日）韓國區塊鏈公司Certon.In宣布為了加強其子公司‘X-Chain’的個人認證服務將參與日本安全公司PRO主導準備的基于去中心化認證的虛擬貨幣項目 ‘BaaSid’。根據Certon.In公司的描述， ‘BaaSid’是將用戶敏感的個人身份驗證信息進行拆分，并將這些被拆分的信息在單獨的節點上進行分離·分散的儲存, 進行登錄、付款或使用網上銀行時可以進行暫時合并。該網絡平臺沒有在線服務提供商（OSP）提供的中心化數據庫，是一個即時驗證（即時訪問）的去中心化數據庫公共網絡平臺。[2018/2/5]

此函數允許特定地址通過底層調用根據其傳入的參數對合約進行任意寫入。帶注釋的assembly模塊如下所示：

此函數是在合約部署時添加的，因為OpenZeppelin的AccessControl的實現中并不存在此函數，這意味著參與部署代幣的AxionNetwork成員從中作梗。結論

此次攻擊涉及到的代碼，是在合約部署前被人為故意添加進去的。此次事件與CertiK完成的審計毫無關聯，對這次攻擊所負責的人應是參與了AxionNetwork合約部署的相關人員。在此CertiK也特別強調，為了保證審計報告的有效性，和對項目安全的保障，審計報告應包括已部署的智能合約地址。地址所指向的合約的代碼應是和被審計過的源代碼相同的。因此，請大家切勿因為看到項目“已審計”就不做任何背景調查而盲目跟進。CertiK安全預言機，作為一個鏈上可實時交互進行安全檢測的工具，可以有效確保并驗證已部署的智能合約匹配已被審計的版本。它可以從去中心化的安全運營商網絡中檢索一組安全評分，獲得安全可靠的網絡評估源代碼，所有人都可以通過使用預言機來驗證合約安全性。在基于區塊鏈的生態系統中，提高安全性就必須將傳統審計與鏈上安全性分析相結合。CertiK安全預言機將有效減少鏈上交易與實時安全檢測之間的距離，致力于運用去中心化的方法來解決安全難點。

參考鏈接：?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4?https://tornado.cash/?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so

Tags：CERERTCERTTIKSOCCER價格ERTHCERT立方根TIK幣

幣贏