比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > FTX > Info

CER:首發 | 自家客戶被盜了?一文還原Axion Network攻擊事件始末_TIK

Author:

Time:1900/1/1 0:00:00

在11月2日上線后僅幾個小時,Axion Network代幣AXN的價格暴跌了100%。這次價格暴跌披露了其存在的漏洞,下文是CertiK安全審計團隊針對此事件的完整分析。

2020年11月2日北京時間晚上七時左右?,黑客利用Axion Staking合約的unstake函數設法鑄造了約800億個AXN代幣。

黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣,重復此過程,直到Uniswap中ETH-AXN交易對的以太幣所被耗盡,同時AXN代幣價格降至0。

在攻擊發生后的幾分鐘內,CertiK安全審計團隊獲知了該攻擊事件,并即刻展開了調查。

CertiK安全審計團隊認為該攻擊極大可能是內部操作造成的,該內部操作通過在部署代碼時,對項目依賴的OpenZeppelin依賴項注入惡意代碼。 

首發 | 歐科云鏈推出“天眼方案”推動鏈上安全系統再升級:8月28日,區塊鏈產業集團歐科云鏈宣布推出區塊鏈“天眼方案”,主要通過鏈上數據追蹤系統研發、對外技術支持、凝聚企業眾力等途徑,全面助力區塊鏈安全提升和產業平穩健康發展。

據了解,在“天眼方案”下,歐科云鏈集團將打造鏈上數據追蹤系統,通過溯源數字資產、監控非法交易等手段,全力遏制洗錢等非法行為;協助執法機關辦案,并為打造法務等區塊鏈系統提供技術支持;為聯盟鏈和基于各類業務的鏈上數據提供區塊鏈+大數據的解決方案。[2020/8/28]

被惡意利用的智能合約函數不屬于CertiK審核的范圍內。

在將Axion項目代碼和OpenZeppelin依賴代碼結合并進行部署時,該惡意代碼隨著OpenZeppelin依賴代碼被注入到部署的項目中。

黑客在發動攻擊時使用的是前一天從tornado.cash?中獲取的匿名資金?,說明這是一次有預謀的攻擊。

《精靈達人3D》正式首發 Cocos-BCX 主網:據官方消息,近日,由生態合伙人 DAPPX 參與開發的《精靈達人3D》正式首發于游戲公鏈 Cocos-BCX 主網。《精靈達人3D》是一款以精靈寶可夢為題材的抓寵游戲,游戲美術采用全3D 制作。用戶可通過 CocosWallet , DAPPX 或 IMCOCOS 登錄 COCOS 主網賬號即可體驗。截至目前,Cocos-BCX 主網已上線《加密騎士團》《惡龍必須死》《XPEX怪獸世界》《Go Block》《可可奪幣》《熊貓運動會》等多款玩法多樣的趣味性鏈游,游戲公鏈生態在逐步壯大和完善。[2020/8/20]

可能是以防攻擊失敗而節省一些資金,黑客賬戶在收到資金后,立即通過tornado.cash轉出了2.1個以太幣。

作為本次攻擊的準備工作的最后一步,黑客從Uniswap交易所購買了大約70萬個HEX2T代幣?。然而,這些資金最終沒有參與到攻擊中,而是為掩護攻擊行為而放出的煙霧彈。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道,2020年2月28日,百度(股票代碼BAIDU)公布財報,其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述,依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上,百度與上海浦東發展銀行達成合作,共建區塊鏈聯盟,在百度區塊鏈服務(BaaS)平臺上實現跨行信息驗證。[2020/2/28]

在北京時間下午四時?,黑客先以數量為 0 和持續抵押時間為 1 天為參數調用stake函數,在Axion Network的抵押合同中創建“空”抵押。

這為黑客創建了一個Session條目,其會話ID為6,數量為0,股價為0。

此后,黑客預料到攻擊將會成功,因此向Uniswap交易所預先授權了無限制的AXN。

隨后,他們批準了Axion的NativeSwap合約,以獲取即將轉換為AXN代幣的資金額。

首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]

黑客在大約北京時間下午五時?調用了NativeSwap合約的deposit函數,然而黑客并未調用該合約的withdraw函數來獲取其交換得到的AXN,這在NativeSwap合約的swapTokenBalanceOf函數清晰可見。

隨后,他們在執行攻擊前又調用了一次deposit函數,但是這次調用執行最終失敗。

以上提到的交易僅僅是黑客為了掩護真正unstake攻擊的煙霧彈。

公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]

由于黑客進行的交易未更改sessionDataOf映射,因此可以得出結論,這是一次多地址攻擊。

為了找到可能導致sessionDataOf映射受到影響的原因,CertiK安全審計團隊在GitHub代碼存儲庫中審查了項目方與CertiK共享的合約源代碼。

經過仔細驗證,團隊無法在stake函數之外檢測到對其或其成員的任何修改操作,這使得我們懷疑該項目智能合約是否被正確的部署。

在分析了已部署的Staking合約源代碼之后,CertiK安全審計團隊在Staking合約的已部署的源代碼?第665-671行發現了一處代碼注入,該代碼注入發生在被修改的OpenZeppelin庫中的AccessControl智能合約 。

鏈接中的checkRole函數不屬于OpenZeppelin v3.0.1的實現,而OpenZeppelin v3.0.1?在項目的GitHub代碼存儲庫中被列為依賴項。

在checkRole函數中,存在以下 assembly模塊:

此函數允許特定地址通過底層調用根據其傳入的參數對合約進行任意寫入。帶注釋的assembly 模塊如下所示:

此函數是在合約部署時添加的,因為OpenZeppelin的AccessControl的實現中并不存在此函數,這意味著參與部署代幣的Axion Network成員從中作梗。 

此次攻擊涉及到的代碼,是在合約部署前被人為故意添加進去的。

此次事件與CertiK完成的審計毫無關聯,對這次攻擊所負責的人應是參與了Axion Network合約部署的相關人員。

在此CertiK也特別強調,為了保證審計報告的有效性,和對項目安全的保障,審計報告應包括已部署的智能合約地址。地址所指向的合約的代碼應是和被審計過的源代碼相同的。因此,請大家切勿因為看到項目“已審計”就不做任何背景調查而盲目跟進。 

CertiK安全預言機,作為一個鏈上可實時交互進行安全檢測的工具,可以有效確保并驗證已部署的智能合約匹配已被審計的版本。

它可以從去中心化的安全運營商網絡中檢索一組安全評分,獲得安全可靠的網絡評估源代碼,所有人都可以通過使用預言機來驗證合約安全性。

在基于區塊鏈的生態系統中,提高安全性就必須將傳統審計與鏈上安全性分析相結合。CertiK安全預言機將有效減少鏈上交易與實時安全檢測之間的距離,致力于運用去中心化的方法來解決安全難點。

參考鏈接:

?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4

?https://tornado.cash/

?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced

?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14

?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878

?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875

?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e

?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so

Tags:CER區塊鏈ERTTIKSoccerInu區塊鏈技術通俗講解科普ALERTPLASTIK價格

FTX
NFT:NFT概念究竟是怎么回事_區塊鏈

距離2021年不到80天了,DeFi類項目也慢慢開始走下坡路,但是NTF卻延續了DeFi的火熱,其實NTF并不是什么新概念,如果你是一位幣圈早鳥.

1900/1/1 0:00:00
區塊鏈:金色相對論 | 蔡維德:區塊鏈行業需要反洗錢標準加持新型科技監管_區塊鏈工程專業學什么課程

近年來,隨著區塊鏈技術的越加成熟,區塊鏈所帶來的風險也愈加受到重視,目前區塊鏈技術已在金融等領域率先應用起來,但其洗錢風險也因區塊鏈逐步放大.

1900/1/1 0:00:00
UNI:Uniswap首個社區提案引發爭議:Dharma被指擁有過多控制權_uniswap幣

律動 BlockBeats消息,近日,Uniswap社區成員Dharma發起了首個治理提案:希望減少代幣管理和參與人數的門檻.

1900/1/1 0:00:00
DEFI:10.15午間行情:比特幣結構性壓力阻撓多頭后對稱性調整或已開啟_NRGY Defi

文章系金色財經專欄作者炊事團團長供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
DOD:慢霧合伙人啟富:NFT或是下一個方向 但落地需要時間_EBUSD價格

DeFi 很火,這個夏天業內仿佛打入雞血一般地參與到這個生態,創新、革命,各類項目此消彼長。不過,熱鬧背后,卻是暗流涌動.

1900/1/1 0:00:00
區塊鏈:谷燕西:決定美國不動產通證流動性的技術和業務因素_比特幣是穩定幣嗎

不動產資產特點的是資產體量大,流動性差。這是一直存在的問題。但是在以中心化計算系統支持的經濟活動中,這個問題是無法解決的。中心化的計算系統支持公司的各自的中心化的運營模式.

1900/1/1 0:00:00
ads