北京事件9月4日,NFT賽馬項目DeRace受到黑客攻擊,在?DAOMaker?中進行持有者發行時因DAOMaker合約被攻擊,導致400萬美元的損失。
在此之前,北京時間8月12日,DAOMaker就已遭到類似黑客攻擊,也是由于權限管理不當受到攻擊,損失超過700萬美元。累計已因為類似的權限管理不當問題,損失了超過1000萬美元。
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,并總結了安全防范手段,希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
美國國家橄欖球聯盟(NFL)放寬有關加密公司贊助的規則,授予NFT贊助的有限權限:金色財經報道,美國國家橄欖球聯盟(National Football League)在一份備忘錄中表示,授予球隊尋求區塊鏈贊助的有限許可,但將繼續禁止俱樂部或球員直接推廣加密貨幣。該備忘錄顯示,NFL 在完成對該技術的評估后,決定允許“在不承擔過度監管或品牌風險的情況下建立推廣關系”,許可須經 NFL 批準,不包括體育場標牌。NFL 消費產品負責人Joe Ruggiero表示,球隊與區塊鏈公司之間達成的任何交易都不會超過三年,以賦予聯盟靈活性。他補充說,NFL 也可以將其聯盟范圍內的區塊鏈權利出售給其他公司。(CNBC)[2022/3/23 14:12:28]
一、事件分析
美國法官暗示投資者無權限制IRS從交易所獲取交易信息:金色財經報道,美國新罕布什爾州法官Joseph Di Clerico在批準去年12月提出的一則案件的駁回動議時暗示,個人可能無權強制美國國稅局(IRS)刪除其從加密貨幣交易所獲得的記錄。據悉,原告James Harper曾于2013年在Coinbase等交易所開設賬戶,曾獲得比特幣作為其咨詢工作的收入。他聲稱自己在納稅申報表報告了加密交易直到2016年,隨后其清算了在Coinbase、Abra和Uphold的比特幣。在2019年,IRS向加密貨幣投資者發送了10,000封信,并似乎暗示他們需支付任何未申報的補繳稅款。由于Harper收到了IRS的來信,他推斷Abra、Coinbase或兩者都向IRS提供了他的個人信息。 2020年7月,他針對美國IRS提起了民權訴訟,指控稅務機關侵犯了他的權利。今日的駁回顯示,Harper無權獲得賠償金,也無權限制IRS從交易所獲取稅務信息的能力。[2021/3/24 19:12:17]
印度明晰數字貨幣監管權限 詳案或將在3月底前公布:據新印度快報消息,印度證券交易委員會(SEBI)主席Ajay Tyagi周六告訴記者,各種監管機構在數字貨幣方面的作用已經確定,有關比特幣的規則將很快出臺。他拒絕透漏相關細節,堅稱印度證券交易委員會將嚴格執行新政。財政部長Arun Jaitley此前重申對數字貨幣的立場:數字貨幣在印度并沒有被認為是法定貨幣,而政府“將采取一切措施消除”它在非法活動中使用。印度數字貨幣投資者預計,政府針對數字貨幣收入、利潤和交易稅收方面將更加清晰。[2018/2/12]
攻擊者以相同的攻擊手法進行多次攻擊,以DeRace?Token(DERC)被攻擊進行分析:
通過對0x2fd602ed1f8cb6deaba9bedd560ffe772eb85940合約反編譯發現,該合約只是起到代理的作用,只有一個fallback函數,將發送過來的函數調用通過delegatecall()的方式委托調用給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。
同時發現其他的被攻擊的erc20代幣被攻擊合約雖然地址不同,但是都是用的相同的智能合約來將發來的請求!。通過delegatecall()委托調用的方式給地址為0xf17ca0e0f24a5fa27944275fa0cedec24fbf8ee2的合約進行處理。
黑客通過發送函數簽名為0x84304ad7函數給0x2fd6,在代理合約中直接通過delegatecall的方式進行委托調用0xf17cinit函數。在Vesting.sol合約的init函數中,似乎并沒有對msg.sender的身份進行確權操作。因此,使得攻擊者成為0x2fd6的owner,隨之攻擊者就通過0x2fd6委托調用0xf17c合約的emergencyExit函數,進行緊急提款。
本次收到攻擊者的多種erc20代幣都是部署了相同或類似的代理合約進行工作的,因此攻擊者依次使用相同的攻擊手法進行攻擊,最后兌換成了DAI,攻擊者最終獲利近400萬美金。
這已經是DaoMaker多次受到攻擊,雖然聲稱經過了多家不同安全公司的審計工作,但是其安全狀況使人擔憂。
二、安全建議
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。
而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。
原標題:《元宇宙漫游手冊:新經濟,新產業》What?元宇宙核心是什么?Who?誰在構建元宇宙?How?元宇宙有哪些應用?虛擬環境,虛擬化身,虛擬現實。此前,元宇宙是科幻小說中的一個概念.
1900/1/1 0:00:00巴比特訊,上周末,數字藝術家Pak設計的LostPoets系列NFT共售出5.5萬個,單個價格為0.32ETH,籌集資金達7000萬美元,目前在OpeneSea地板價為0.52ETH.
1900/1/1 0:00:00據VentureBeat9月15日消息,DApp游戲服務平臺Stardust完成500萬美元融資,FrameworkVentures領投.
1900/1/1 0:00:00巴比特訊,9月12日,Avalanche鏈上ZabuFinance官方表示,攻擊者從ZabuFarmContract提取45億個ZABU代幣,使供應達到50億.
1900/1/1 0:00:00據Newsbitcoin10月2日消息,烏茲別克斯坦的一個政府機構近日公布了一份未經授權的加密貨幣交易所的名單,建議該國居民避免使用.
1900/1/1 0:00:00據Livebitcoinnews消息,支付公司Square正在加入一項針對加密貨幣的互不侵犯協議,該協議旨在減少針對加密和區塊鏈公司的專利訴訟,并將數字貨幣世界推向主流領域.
1900/1/1 0:00:00