本文由CertiK原創,授權金色財經首發。
北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目True Seigniorage Dollar發生新型攻擊事件,總損失高達約1.66萬美金。
此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。
整個攻擊流程如下:
① 攻擊者
地址:
0x50f753c5932b18e9ca28362cf0df725142fa6376
通過低價收購大量True Seigniorage Dollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。
LBANK藍貝殼于3月22日18:00首發 DORA,開放USDT交易:據官方公告,3月22日18:00,LBANK藍貝殼首發DORA(Dora Factory),開放USDT交易,現已開放充值。
資料顯示,Dora Factory 是基于波卡的 DAO 即服務基礎設施,基于 Substrate 的開放、可編程的鏈上治理協議平臺,為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時,開發者可以向這個 DAO 即服務平臺提交新的治理模塊,并獲得持續的激勵。[2021/3/22 19:07:06]
動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。
據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]
圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息
② 在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
惡意代幣實現合約地址:
0x26888ff41d05ed753ea6443b02ada82031d3b9fb
首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。
?
《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]
圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約
圖3:攻擊者利用所持地址之一建立惡意代幣實現合約
③ 當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣
④ 同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。
通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。
圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法
圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣
⑤ 當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。
圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD
此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。
攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果, 從而保證其惡意提案被通過。
雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。
CertiK安全技術團隊建議:
從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。
金色財經報道,美國證券交易委員會公布VanEck的比特幣ETF申請,監管機構現在有45天的時間批準或拒絕該申請或延長審查期限.
1900/1/1 0:00:00有些人正在從NFT中賺取大筆資金,幾乎每個人都可以碰碰運氣并體驗這個新興的利基市場。藝術愛好者Danny表示,NFT通往大規模采用的道路已經開始了,而Steinwold認為,NFT將成為世界上最.
1900/1/1 0:00:00不可否認,目前 NFT 市場非常火爆。Uniswap一雙襪子賣出16萬美元,推特創始人一條推文拍出250萬美元,佳士得首個 NFT 藝術品以 6935 萬美元成交,除此之外,CryptoKitt.
1900/1/1 0:00:00NFT 為藝術家提供了一種在互聯網上賺更多錢的手段,但也引起了新的版權侵權形式。 內容概述 NFT 已經引起新的侵權問題,這會讓藝術家們感到沮喪;從更大的角度來看,雖然問題存在,但由于 NFT.
1900/1/1 0:00:00數字人民幣是由人民銀行發行的數字形式的法定貨幣,由指定運營機構參與運營并向公眾兌換,以廣義賬戶體系為基礎,支持銀行賬戶松耦合功能,與紙鈔硬幣等價,具有價值特征和法償性,支持可控匿名.
1900/1/1 0:00:00近日,隨著特斯拉、美圖等上市公司購入比特幣,比特幣價格持續走向新高。同時,DeFi和NFT發展勢頭迅猛,嘗試逐步融入現代金融體系——數字資產市場似乎正在迎接下一場爆發.
1900/1/1 0:00:00