買以太坊 買以太坊
Ctrl+D 買以太坊
ads

DVP:首發 | 不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析_QBTC價格

Author:

Time:1900/1/1 0:00:00

本文由CertiK原創,授權金色財經首發。

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。

此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。

技術分析?

整個攻擊流程如下:

①?攻擊者

地址:?

0x50f753c5932b18e9ca28362cf0df725142fa6376

通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。

首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]

圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息

②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]

惡意代幣實現合約地址:

0x26888ff41d05ed753ea6443b02ada82031d3b9fb

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]

圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約

③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣

④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。

通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。

圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣

⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。

圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD

總結

此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。

攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。

雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。

CertiK安全技術團隊建議:

從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:TSD區塊鏈BTCDVPRATSDAO幣區塊鏈技術適合女生嗎QBTC價格dvp幣最新消息

幣安下載
NFT:NFT 筆記:我的加密藝術品投資邏輯_CRYPTO CARBON ENERGY

每當身邊的朋友得知我一個窮小子以高價買入某些NFT藝術品時常常面露不解,常問的問題包括:「為什么這個NFT值那么多錢?」要回答這個問題,我可以選擇感性且任性的說:「因為我是粉絲,我喜歡」.

1900/1/1 0:00:00
OIN:超詳細Gitcoin捐贈指南_TCO

3月10日,開源軟件資助平臺?Gitcoin?啟動了為期15天第9輪捐贈活動。不少知名DeFi項目便從Gitcoin孵化出來,上面也匯聚了很多知名開發者和有創意的想法,普通用戶參與捐贈還有機會獲.

1900/1/1 0:00:00
COI:捐贈有空投彩蛋?探秘神幣“出道地”gitcoin_ITC

大家好,我是佩佩,當大餅一次又一次創下新高,主流不斷在報道其漲跌之時,圈內人士往往會更關注山寨市場,而俗話說炒新不炒舊,每一屆牛市也有些不同的發行打新方式,像17年那會是艾西歐,自20年開始.

1900/1/1 0:00:00
加密貨幣:受美聯儲鴿派政策刺激快速上漲,比特幣牛市有望延長_btc正規交易平臺

作者:王永菲 來源:華夏時報 3月18日,美國聯邦儲備委員主席杰羅姆·鮑威爾(JeromePowell)在發布會上表示,美聯儲預計將保持寬松的貨幣政策,以促進受冠狀病影響的經濟發展.

1900/1/1 0:00:00
BAS:研究報告丨理解算法穩定幣的不穩定性_Alibabacoin

作?者 趙文琦李慧袁煜明 摘要: 算法穩定幣是一種由計算機代碼控制的加密貨幣,旨在動態降低其相對特定資產價格的波動性。但隨著算法穩定幣近幾年來的迅速發展,它們的波動性遠遠超過人們的預期.

1900/1/1 0:00:00
比特幣:升值到150萬美元?比特幣的終局是什么_比特幣暴跌要完了

經濟學家告訴我們,為什么分布式記賬為基礎的貨幣可能無法成為主流比特幣的價格終于沖破了6萬美元的關口,由于近期快速升值,比特幣的整體市值在2月26日突破了1萬億美元.

1900/1/1 0:00:00
ads