北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件,总损失高达约1.66万美金。此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。技术分析
整个攻击流程如下:①攻击者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通过低价收购大量TrueSeigniorageDollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。
CertiK:正积极调查Merlin攻击事件,或为私钥管理问题:金色财经报道,CertiK在推特发布公告称其正积极调查Merlin攻击事件,初步调查结果表明,是潜在的私钥管理问题而不是漏洞被利用。
如果发现任何不法行为,将与有关当局合作并分享相关信息。
此前报道,Web3知识图谱协议0xScope创始人Bobie发推特称,zkSync生态上DEX Merlin流动性耗尽,黑客盗取182万美元资金并桥接至以太坊。[2023/4/26 14:27:36]
CertiK:HEGE Coin已被确认为Rug Pull跑路项目:金色财经报道,据CertiK安全团队监测,HEGE Coin已被确认为Rug Pull跑路项目。北京时间2022年6月12日5:54:05 , HEGE代币的价格暴跌超过97%。目前损失金额约为43万USC-USD (约为43万美元)。[2022/6/13 4:21:40]
图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息②在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。恶意代币实现合约地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb
CertiK完成3700万美元B轮融资:区块链安全公司CertiK周三宣布完成3700万美元B轮融资,以扩大其加密货币和DeFi行业的产品和安全能力。此轮融资由Coatue Management和Shunwei Capital领投,Coinbase Ventures等参投。(Cointelegraph)[2021/7/14 0:52:25]
图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约
Aragon与Balancer将为Snapshot各提供10万美元开发奖励:DAO解决方案提供商Aragon (ANT)宣布 Aragon Association将与Balancer Labs合作,将为Snapshot代码库贡献代码,并提供价值10万美元的ANT,同时Balancer Labs将承诺提供10万美元的 BAL (取决于 BAL 治理批准),两种代币都将进入一个50/50的Balancer池,用于Snapshot的开发和资金奖励。此前,Aragon 基于Snapshot和Aragon法庭(Aragon Court)推出一项结合链下投票和链上治理的治理解决方案,Snapshot提供链下投票,允许社区用户在链下进行投票,Aragon法庭将进行链上治理,包括审理诉讼以及执行等。[2020/10/7]
图3:攻击者利用所持地址之一建立恶意代币实现合约③当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币④同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。
图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法
图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币⑤当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。
图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD总结
此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。CertiK安全技术团队建议:从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。
编者按:本文来自金色财经,Odaily星球日报经授权转载。比特币作为无可争辩的、最具开创性的加密货币之王,却似乎并没有较好地解决一个区块链重要问题——隐私.
1900/1/1 0:00:00这两天币价一直被美联储和美债影响,很多利好性的消息也被市场忽略,比如说这几天一些华尔街银行对加密货币方面的态度也有了比较积极的发展.
1900/1/1 0:00:00原文标题:《ExploitNetwork:Ahigh-performanceprivacynetworkthatsupportsPolkadot》原文来源:CointeTegraph随着3月初比.
1900/1/1 0:00:00整理|秦晓峰编辑|郝方舟出品|Odaily星球日报 传统金融市场,有一个非常重要的业务,那便是「主经纪商业务」.
1900/1/1 0:00:00编者按:本文来自Cointelegraph中文,Odaily星球日报经授权转载。如加密货币行业的很多人一样,SamBankman-Fried也是为了挣钱而入行.
1900/1/1 0:00:00美国超威半导体公司AMD已确认不会限制显卡的挖矿功能。此前其竞争对手英伟达曾宣布在新发布的显卡产品上限制以太坊挖矿功能,不少人都担心AMD会效仿英伟达也限制显卡挖矿功能.
1900/1/1 0:00:00
木星链