比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads

CER:CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析_certik

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析?

整個攻擊流程如下:

①?攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息

Certik:正在探討180萬美金社區補償計劃以彌補Merlin DEX事件損失:金色財經報道,據Certik發文表示,在Merlin DEX的惡意開發者實施了Rug Pull后,正與受影響的各方緊密合作,彌補Merlin DEX事件造成的180萬美元用戶資金損失。據悉,CertiK將在未來幾天內宣布一個180萬美金的社區補償計劃以彌補損失,更多的計劃細節將會于隨后發布。

CertiK在對Merlin DEX的審計過程中發現了中心化風險,并對授予“masterAddress”和“owner”地址的權限進行了詳細的可視化分解。該審計工作于4月23日完成,共有六項發現。Merlin團隊修復了其中兩個問題,并確認了其余四個問題。CertiK的審計報告全部公開透明,并免費提供給所有Web3社區成員查看。

初步調查表明,攻擊者很可能位于歐洲。目前,Certik正在與執法部門合作,追蹤他們的下落。CertiK也正在與Merlin團隊的其他成員緊密合作并努力解決問題。目前,CertiK已敦促該惡意開發者接受20%的白帽賞金。[2023/4/27 14:29:05]

②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

Balancer推出Orb Collective用于擴大其生態系統:金色財經消息,去中心化交易協議Balancer推出Orb Collective,其目標是擴大Balancer協議的全球采用率,并繼續為DeFi的下一個十年創新培育Balancer生態系統。據悉,Orb Collective由前Balancer Labs和Balancer DAO貢獻者組成的團隊創建,Orb提供了一種解決方案,通過合作伙伴關系、營銷、集成、設計和人員運營工作來促進Balancer協議的發展。[2022/8/2 2:53:20]

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約

動態 | Cere Network完成350萬美元的種子融資:據CoinDesk消息,基于區塊鏈的客戶關系管理初創公司(CRM) Cere Network剛剛完成了一輪350萬美元的種子融資。在Binance Labs、Neo Global Capital和Arrington XRP Capital等眾多公司的支持下,Cere Network在紐約開設了辦事處,并將于柏林區塊鏈周期間宣布在柏林設立創新實驗室。[2019/8/20]

③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣

④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣

⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD

智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:CERTIKcertikCERTTIKI價格certik幣價

芝麻開門交易所
比特幣:比特幣價格跌破6萬美元 但這可能醞釀著更大的反彈?_Cenfura Token

繼上周比特幣價格又一次創下歷史新高后,周日其價格便跌破6萬美元,但穩定Token的流入表明,這其實并不是一個大問題.

1900/1/1 0:00:00
APO:3月14號:BTC(比特幣)急速上漲后面的故事_TDR

BTC(比特幣)的K線解讀4小時:第一點:在TDR技術指標上,我們劃分的三個方向,T點上方向,D點中方向,R點下方向。D點和R點沒有被接觸,直接性破位完成.

1900/1/1 0:00:00
ENT:星球日報 | 香港金管局正在跟內地合作測試數字人民幣;印度提議禁止加密貨幣,將持有、挖礦等定為犯罪(3月16日)_CAP

頭條 香港金管局:正在跟內地合作測試數字人民幣香港金管局總裁余偉文今日對外表示,金管局正與中國人民銀行數字貨幣研究所研究使用數字人民幣進行跨境支付的技術測試,并做相應的技術準備.

1900/1/1 0:00:00
以太坊:波卡會先于以太坊成為萬億美元資產嗎?_丘比特幣圖片

受宏觀經濟形勢與傳統機構涌入影響,比特幣基本面穩固向好。DeFi板塊也在近一年不斷的創新與去泡沫中飛速發展,帶動著新老公鏈、擴容與互操作方案、鏈上基礎組件等各領域共進攀升.

1900/1/1 0:00:00
BTC:老盧論幣 3/14 BTC午間行情分析_gate.io安卓下載app官網

3-14比特幣行情分析 成功經驗的總結多是扭曲的,失敗教訓的總結才是正確的,祝你我成功! BTC行情分析 目前上升的行情延續,從1小時線來看,BOLL指標開始回調反彈,后續相對平穩的.

1900/1/1 0:00:00
數字貨幣:調查顯示72%的美國認可投資者計劃在2021年投資Defi_比特幣是什么材質做的

一項新的調查顯示,針對分散式金融領域,美國認可的投資者的最新趨勢。研究表明,他們中的絕大多數今年可能會投資于defi.

1900/1/1 0:00:00
ads