北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析
整個攻擊流程如下:①攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。
沙特機場地勤服務提供商SGS將在28個機場實施DocCerts區塊鏈管理解決方案:金色財經報道,沙特機場地勤服務提供商 SGS 將與區塊鏈公司 IR4LAB 合作,在沙特的 28 個機場實施 DocCerts 區塊鏈管理解決方案,適用于 SGS 提供地面服務的 28 個沙特阿拉伯機場頒發的所有培訓相關數字文件和地面服務設備許可證。[2023/2/9 11:56:45]
圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息②在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb
Balancer通過將AMPL流動性挖礦上限提高至1000萬美元的投票:據官方消息,DeFi協議 Balancer (BAL)提升AMPL代幣流動性挖礦上限的提案已投票通過,根據該提案,AMPL代幣流動性挖礦的上限將從300萬美元提高至至1000萬美元。[2020/12/14 15:06:10]
圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約
CertiK:Balancer遭黑客攻擊損失約90萬人民幣,其他DeFi合約需警惕:6月29日北京時間凌晨2點03分,CertiK天網系統檢查到在區塊10355807處Balancer DeFi合約異常。此次攻擊約獲利90萬人民幣。
安全研究員迅速介入調查,攻擊重現如下:
階段0:攻擊者從dYdX閃電貸處借款,獲得初始WETH資金。
階段1:攻擊者使用WETH將Balancer中的STA盡可能買空,最大程度提高STA價格。
階段2:攻擊者用獲得的STA多次買回WETH。每一次都用最小量的STA(數值為1e-18)進行購買,并利用Balancer內部漏洞函數gulp(),鎖定STA的數目,控制STA對WETH的價格。重復多次該種買回操作,直到將Balancer中的WETH取空。
階段3:換一種代幣,用STA重復階段2直到取空該種代幣。階段三重復了三次,一共有4種代幣受到了損失WETH,WBTC, LINK和SNX。
階段4:償還dYdX閃電貸,離場。
CertiK判斷攻擊者是有經驗的黑客團隊在充分準備后的一次攻擊嘗試,有很大可能還會繼續攻擊其他DeFi合約。[2020/6/30]
圖3:攻擊者利用所持地址之一建立惡意代幣實現合約③當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
Coinlancer 將于兩周內進行路線圖更新:Coinlancer(CL)官方推特指出,兩周之內將在其網站上發布路線圖的改動和更新事項。CL現全球均價0.07美元,跌幅4%。[2018/2/21]
圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣④同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。
圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法
圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣⑤當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。
圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD總結
此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。
Tags:CERANCLANCNCEAnimal ConcertsProvenance BlockchainLANC價格Experiencer
BTC行情分析 昨夜美股漲跌不一,科技股領跌,美債近日刷出新低,這是一直放水的節奏,BTC的貨幣貶值對沖價值屬性還在,BTC雖小幅回調,但長期的價值基礎卻未被破壞.
1900/1/1 0:00:00編者按:本文來自風火輪社區,作者:佩佩,Odaily星球日報經授權轉載。大家好,我是佩佩,幣圈這兩天的主流市場有點慘,很多朋友都在尋思著是否真的是牛轉熊,貌似那NFT的熱度也還真有點“魚尾”之感.
1900/1/1 0:00:00編者按:本文來自蜂巢財經News,作者:凱爾,Odaily星球日報經授權轉載。大數據DeFi協議BigDataProtocol開啟流動性挖礦一天后,它的總鎖倉價值超過了66億美元,一度超越了Ma.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:Apatheticco,星球日報經授權發布。3月5日,Twitter創始人杰克·多西在推特上發布了一個新的應用程序,該程序允許人們使用ETH“購買”推文.
1900/1/1 0:00:00美國加州眾議員RoKhanna近日公開盛贊比特幣的價值,并呼吁投資綠色環保型、碳排放更少的比特幣挖礦業務.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 最近的NFT熱潮,更多是由投機者推動,而不是真正的支持者。如果每個時代拿出一些具有典型意義的收藏品,這些收藏品可以反映某個歷史時刻,那么在我們所處的時代里,這.
1900/1/1 0:00:00