比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > Gate.io > Info

CER:CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析_DAO

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析

整個攻擊流程如下:①攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。

Balancer流動性已集成至DEX聚合器OpenOcean:金色財經報道,Balancer在推文中表示,Balancer流動性已集成至Polygon和Avalanche上的DEX聚合器OpenOcean,借助金庫的靈活性和 SOR 效率,用戶可以利用深度流動性 ,最小的價格影響以及最佳交換路徑。[2023/8/11 16:21:05]

圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息②在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb

Certik:2021年DeFi項目因黑客攻擊損失金額達13億美元:金色財經報道,安全公司Certik 在其首份“DeFi 安全狀況”研究報告中表示,2021 年,去中心化金融 (DeFi)項目因黑客攻擊損失金額增加了一倍多,達到 13 億美元。雖然損失的價值攀升了 160%,但由于 DeFi 市場的增長,損失在總額中的比例低于 2020 年。(coindesk)[2022/1/13 8:47:21]

圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

Tracer DAO完成450萬美元融資,Framework Ventures參投:6月29日,Tracer DAO宣布完成450萬美元融資,本輪融資由Framework Ventures、DACM、Maven11、Apollo Capital、Distributed Global Ventures、Paperclip Fund、Supernova、GSR,以及Efficient Frontier參投。本輪融資資金將用于引入新的開發人員加入團隊。Tracer DAO是一個去中心化交易平臺,為用戶提供高杠桿永續交易服務。[2021/6/29 0:15:11]

CerscoFin提議在Aave上建立市場 將實物資產和機構投資者帶入Aave:受瑞士監管的金融加密公司CerscoFin提議在Aave上建立市場,將實物資產和機構投資者帶入Aave。該提案允許投資者存入USDC并接收iCRES代幣,該代幣會提供保險利率,且為可替代的ERC20代幣。該提案旨在允許Aave投資者參與低風險的實物資產。該提案將實現Aave拓展未來在實物資產現金流的愿景。(注:每一枚iCRES代幣代表1美元的受保障抵押品和利息。)[2020/11/18 21:12:39]

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約③當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣④同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。

圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣⑤當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。

圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD總結

此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:CERTSDAVEDAODSOCCERTSD幣everysavePieDAO DEFI

Gate.io
HTT:OEC聯合20個測試網項目開啟公測,空投2000枚OKT(附教程)_SWAP

DeFi流動性挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程.

1900/1/1 0:00:00
比特幣:炒幣一月勝過全年賣車,馬斯克帶貨的比特幣還能瘋狂多久?_加密貨幣

編者按:本文來自棱鏡,作者:肖望王凡,Odaily星球日報經授權轉載。“我偶爾也會幻想一下,如果當初那200枚比特幣沒賣,現在身家也有近8000萬元了.

1900/1/1 0:00:00
STA:Taraxa公募KYC指南_TARA

參與資格?如何通過KYC?所有問題請看下文詳解。Taraxa將在3月12日開啟公募,如果您有意向參加,請先完成KYC驗證。最新消息請關注公募信息頁:sale.taraxa.io.

1900/1/1 0:00:00
COS:NFT遺珠Cocos-BCX全貌分析_COCO

NFT概念已經成為區塊鏈行業新一輪的增長點。根據DappRadar數據顯示,在過去30天內,排名前12位的NFT市場已產生超過4.8億美元的交易量,醞釀許久的NFT熱潮在新年伊始被點燃.

1900/1/1 0:00:00
OIN:Coinbase數據業務負責人揭秘加密企業的數據3.0之路_Edgecoin

編者按:本文來自鏈聞ChainNews,撰文:李玥,Coinbase數據業務副總裁,星球日報經授權發布.

1900/1/1 0:00:00
COI:歐易OKEx研究院:解密加密貨幣第一股Coinbase_coinbase

2020年2月25日,Coinbase正式向SEC提交上市申請,計劃將其A類普通股在納斯達克全球精選市場直接上市.

1900/1/1 0:00:00
ads