北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①?攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
美國銀行CEO:美聯儲可能暫停降息 但不會宣稱加息周期已經完成:金色財經報道,美國銀行CEO Moynihan表示,美國資本市場將重回正軌并保持開放;預計美聯儲近期將維持利率水平不變,然后在2024年開始降息;美聯儲可能暫停降息,但不會宣稱加息周期已經完成。[2023/6/13 21:32:40]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
德勤:區塊鏈可能是引領下一次數據存儲革命的重要組成部分:金色財經報道,德勤首席未來學家Mike Bechtel表示,區塊鏈可能是引領下一次數據存儲革命的重要組成部分。區塊鏈經歷了變革的一年,最終動搖了其加密貨幣協會并在各個行業激增。在電信領域,該技術已被Verizon 等主要運營商采用,用于解決與批發合作伙伴的爭端。
德勤在其最新的“技術趨勢報告”中將區塊鏈和 Web3 等“無需信任”的系統確定為新興技術,將推動數據存儲的三部分發揮最終“作用”。
Bechtel稱,當你真正把相機拉回來時,20 世紀是關于小型化的。單臺計算機變得越來越小……過去 10 年是這個過渡階段,現在是關于虛擬化的,[2023/1/5 9:53:29]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
芝商所正式宣布推出太坊期貨期權:金色財經報道,美國芝商所(CME)宣布正式推出太坊期貨期權。CME集團股票和外匯產品全球主管Tim McCourt表示:由于市場參與者期待即將到來的以太坊合并,這是一個可能改變游戲規則的最大的加密貨幣網絡之一的更新,人們對以太坊衍生品的興趣正在激增。我們新的以太坊期權合約的推出時機特別好,為加密貨幣社區提供了另一個重要的工具來獲得和管理以太坊的風險。我們的新期權合約也將補充CME集團的以太坊期貨,其日均交易量同比增長了43%。
金色財經此前報道,8月18日,芝加哥商品交易所集團(CME Group)宣布,計劃在9月12日推出以太坊期貨期權,等待監管部門的審查。這些新合約交付一個以太坊期貨,每份合約的規模為50個以太坊。[2022/9/12 13:24:41]
ADA價格重回0.50美元上方,過去十天上漲25%:7月24日消息,數據提供商Santiment發推稱,Cardano(ADA)價格回到0.50美元上方,在過去十天里上漲25%。交易所融資利率是一個需要密切關注的重要指標,因為當交易者被清算以及價格發生重大變化時,通常會出現做空或看多ADA相關的極端峰值數據。[2022/7/24 2:34:24]
②?攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①?修改了邏輯合約的存儲結構:
②?限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
來源:金色財經
導演第761篇原創每日行情分析2022.07.31 一、市場情緒: 二、圖表結構: 1、大餅 大餅2H的結構: ???從大餅結構來看的話目前是走一筆2H的下跌.
1900/1/1 0:00:00經濟衰退——或政客們所說的“R字”——如今在每個人的談話中都出現了,而且有充分的理由。今天的國內生產總值報告顯示,美國經濟連續第二個季度萎縮,如果你在宏觀經濟學課上密切關注,你可能會開始恐慌.
1900/1/1 0:00:00世界上最大的以太坊鯨魚繼續看好meme貨幣SHIB。但問題仍然歸結為后者的價格。鯨魚對SHIB的信任是否幫助受苦的代幣升值? 這是答案 ShibaInu的原生代幣SHIB正在引領競爭,成為1,0.
1900/1/1 0:00:00上周界面新聞的一則獨家消息,又攪動了數字藏品市場的一池春水。?據界面新聞報道,騰訊正計劃裁撤旗下數字藏品平臺“幻核”。但截至發稿,騰訊方面并沒有官方正式回應.
1900/1/1 0:00:00金色數藏即將推出2期數字藏品,與遇龍河景區旅游發展有限公司、賀州博物館聯合鑄造的「夏日尋蹤·遇見廣西」主題藏品,將于7月28日15:00正式發售.
1900/1/1 0:00:00SageD.Young 上周,來自Scroll、MatterLabs和Polygon的三個公告都有一個共同點:每家公司都暗示它將是第一個將zkEVM推向市場的公司.
1900/1/1 0:00:00