加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 狗狗幣 > Info

Paid Network 1.6 億美元鑄幣疑云,慢霧拆解攻擊細節_MINT:Panda Finance

Author:

Time:1900/1/1 0:00:00

原文標題:《鑄幣疑云——?PaidNetwork?被盜細節分析》

撰文:慢霧安全團隊

據消息,以太坊DApp項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

ChatGPT概念股開盤領跌:2月9日消息,云從科技、海天瑞聲雙雙跌超10%,凡拓數創、天璣科技跌超5%,東港股份、高鴻股份、拓爾思、漢王科技、神思電子等跟跌。

?消息面上,上交所8日晚間對近期熱門ChatGPT概念股海天瑞聲、云從科技下發監管工作函。此前一天,ChatGPT人氣股漢王科技亦收到關注函。[2023/2/9 11:56:03]

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

SOL突破24美元,漲幅超40%:金色財經報道,行情顯示,SOL突破24美元,現報24.18美元,日內漲幅達到43.76%,行情波動較大,請做好風險控制。[2023/1/14 11:11:49]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

Binance:根據盡職調查結果決定放棄收購FTX:11月10日消息,Binance 官方發文表示,根據公司盡職調查的結果,以及有關不當處理客戶資金和所謂美國機構調查的最新新聞報道,決定不尋求對 FTX.com 的潛在收購。

一開始,Binance 希望能夠支持 FTX 的客戶并提供流動性,但這些問題超出了 Binance 的控制范圍或幫助能力。

每當一個行業的主要參與者倒閉時,散戶就會蒙受損失。在過去幾年里,Binance 看到加密生態系統正變得更有彈性,Binance 相信,濫用用戶資金的異常行動遲早會被自由市場淘汰。

隨著監管框架的發展,隨著行業繼續向更大的去中心化發展,生態系統將變得更加強大。[2022/11/10 12:41:04]

但是,事實真是如此嗎?

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約為開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:MINTNCEINTbinanceMINTME幣Panda FinanceINTU幣Binance Crunch

狗狗幣
3.7ETH早間行情分析:_COIN:APE

ETH: 早間行情分析: 以太坊昨日晚間下跌到1512附近后,凌晨在1542附近,一路暴漲早間最高來到了1686附近,凌晨一波拉升上漲174點利潤,現以太坊在1665附近運行,技術指標來看.

1900/1/1 0:00:00
小張談幣:3.7比特幣以太坊多頭開啟能否沖高?策略如下_TRU:ARB幣發行國家

前言:投資是長久之計,不是一朝一夕,所以不可操之過急。就算你現在虧損了,那也沒什么可怕的,只要選擇正確,失去的都會再回來。對于經常被套單的投資朋友張浩告訴你要切記以下5點禁忌:1、重倉操作.

1900/1/1 0:00:00
午間BTC精品行情及指導_AST:STARLINKDOGE

BTC行情分析: 日內早盤沖高回落,價格至49300美元附近受阻,小時級別整體趨勢在46000-50000美元區間內來回震蕩,且這種行情在沒有巨量買盤前仍將繼續.

1900/1/1 0:00:00
慕辰解幣:3.6 以太坊晚間行情-棋逢對手勢均力敵_Space ID:SpaceBudz

人生,就是一個茶幾,上面擺滿了杯具,曾經,再合身的衣服,現在也扣不上了,就像再也回不去的從前以及無法重演的行情,過去只能用來回看,而不能二次重啟,不是我們得到的太少,只是貪心的太多.

1900/1/1 0:00:00
AG系統檢測臨時有維 護不能出了款怎么辦有解決辦法嗎?_USD:USDT幣提到錢包有風控嗎

遇到這種情況現別慌我們首先要了解Q—V—669203299為什么出現這種情況,只有了解了為什么出現這種情況時,才能想出正確應對的方法的和解決的途徑。然后:對癥下藥.

1900/1/1 0:00:00
近在咫尺 失之交臂 我又錯過了空投 有錢 有好奇心 你會更有錢_SWAP:Zeedex

市場很是熱鬧,各種空投,層出不窮,但是大多數與我無關,我只有羨慕的份,而這兩天,有兩個空投與我那么近,又那么遠,差一點點就能得到,但最終還是沒有。這兩個空投都發生在2021年3月4日.

1900/1/1 0:00:00
ads