加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

首發 | PAID Network攻擊事件還原_AID:PAID

Author:

Time:1900/1/1 0:00:00

本文由Certik原創,授權金色財經首發。

2021年3月5日,PAIDNetwork遭受了由于私鑰管理不善而引起的"鑄幣"攻擊。

攻擊者使用代理合約私鑰,將原先經過CertiK審計的PAID合約代碼掉包,添加了銷毀和鑄幣的功能函數。

因為PAID代幣已達上限,攻擊者先銷毀了6000萬枚PAID代幣,然后再重新鑄造了59,471,745枚PAID,并通過Uniswap出售。

CertiK團隊第一時間和PAID?Network團隊溝通調查,確認了原代碼并無漏洞,攻擊事件是由私鑰泄露導致的。目前CertiK團隊仍無法確認私鑰泄露的原因,但已經可以將整個攻擊過程還原。

首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。

據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]

PAID事件時間線

首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道,今日,中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。

區塊鏈技術及軟件安全實戰基地主要涉及領域為:非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等,聯合社會治理、城市安全、前沿技術領域的行業專家,進行警協合作。

據公開報道,近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案,打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙,抓獲犯罪嫌疑人83名,扣押凍結涉案資金2700萬元。[2020/7/21]

2021年3月5日,PAID遭受了持續約30分鐘的攻擊。

首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]

通過鏈上分析,CertiK團隊總結了攻擊的時間線及操作步驟如下:

第一步:合約所有權被轉移給了攻擊者,此時攻擊者在得到私鑰后就已經完全獲得了代理合約的控制權。

第二步:攻擊者利用代理更新合約,添加了銷毀和鑄幣的功能函數。

第三步:攻擊者銷毀了6000萬枚PAID,留出鑄幣空間。

第四步:攻擊者開始鑄幣,并向Uniswap傾銷PAID代幣以換取以太幣。

最后,本次事件并沒有攻擊智能合約的代碼本身,而是通過某種渠道獲得了代理合約的私鑰。

CertiK在審計報告中的PTN-10章節提出了:AmbiguousFunctionality以及其他章節強調了PAID合約中心化的問題。

總結

2021年3月5日,攻擊者獲得PAID代理合約私鑰,替換原有代碼,添加了銷毀和鑄幣的功能函數。

攻擊者之后銷毀了6000萬枚PAID代幣,留出鑄幣空間。

最后,鑄造了59,471,745枚PAID,并通過Uniswap出售了2,401,203枚代幣。

客觀來看,本次攻擊事件中攻擊者并沒有找到任何原合約的漏洞,而是直接獲得了代理合約私鑰。

當合約的可升級性作為項目的預期功能而存在時,它在智能合約中確實有其存在的價值。

而這種類型的功能要求合約所有者以及部署者在確保代碼基本安全的同時,同樣必須保證私鑰的安全。

CertiK將會在未來更多地強調并關注中心化及私鑰保護等相關問題。

復制下方鏈接至瀏覽器,查看CertiK于2021年1月24日為PAIDNetwork出具的審計報告:

https://certik.org/projects/paidnetwork

Tags:AIDPAIPAIDCERTRAIDPAID幣paid幣在哪能交易cere幣最新

酷幣下載
現階段以太坊價值大幅外溢 這6個Layer2項目或是最大受益者_EFI:DeFi Firefly

2018年的時候,我們以為Layer2近在眼前。三年過去了,我們卻發現它依舊離“改變區塊鏈”這個目標有著不短的距離.

1900/1/1 0:00:00
三年磨一劍 Bitget誓做合約領域的破壁人_ITG:GET

縱觀各行各業,能夠成功躋身行業頂端的團隊,要么是“大而全”的產業巨鱷,要么是“小而精”?的領域極客.

1900/1/1 0:00:00
金色觀察|BDP是什么?為何能上線1天鎖倉量即超Uniswap_DATA:TOC

DeFi世界風云變換,可能一個新的DeFi協議的一夜之間就成為前幾,成為圈內人人談論的爆品。據debank數據,BigDataProtocol自3月6日UTC時間上線,不到一天其鎖倉量就超過了U.

1900/1/1 0:00:00
不知道怎么玩NFT?不如直接買這些NFT指數_NFT:區塊鏈

當前的NFT市場可能缺乏流動性。這意味著那些將NFT代幣化為ERC-20的項目有很大的潛力,這些項目可以使NFT更具流動性和易于交易性.

1900/1/1 0:00:00
上新85折優惠!熱門硬件錢包都在這里了_NAN:ANOX

從年初到現在,僅僅2個月左右的時間,眼見比特幣從沖破前高20000刀一路飆升,最高點達到58000刀,即便最近回調,也基本在45000刀到50000刀前后徘徊.

1900/1/1 0:00:00
312也許已經重演,BTC可能再次進入美股關聯區間,后市如何走?_BTC:XFIN

2020年3月,是一段歷史銘記的日子。疫情的暴發,美股在短時間內幾度熔斷,幣市大跳水……2020年3月12日,美股與幣市雙雙墜墜崖,成為股民和幣友最難忘的一天.

1900/1/1 0:00:00
ads