以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

鑄幣疑云:Paid Network被盜細節分析_INT

Author:

Time:1900/1/1 0:00:00

消息顯示,以太坊?DApp?項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000?ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

Pantera Capital:美國對區塊鏈的監管方式起了反作用,導致FTX崩潰和加密公司外流:12月20日消息,Pantera Capital在12月的致投資者信中表示,美國政府賦予早期互聯網公司無數的國會優勢,但在區塊鏈時代,美國的監管方式起到了反效果,導致95%的區塊鏈交易轉移到海外,區塊鏈協議95%的市值都在美國以外的項目中。

美國SEC只能監管屬于證券的東西,這在一定程度上導致監管機構沒有適當的權力或工具來動員,并只能在損害發生后采取執法措施,而不是有能力預先保護用戶和資金。導致FTX崩潰的另一個主要因素是美國監管的不確定性驅使加密資產機構和用戶離開不受監管的美國海岸。[2022/12/20 21:55:27]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

阿根廷共濟會將發行NFT,利潤用于當地慈善工作:金色財經報道,阿根廷共濟會組織Grand Lodge of Free and Accepted Masons表示,其將發布77種數字藝術NFT藏品,利潤會回饋給該分會支持的當地慈善機構。

根據公告,這是第一個由地方性Grand Lodge支持的官方NFT項目。據悉,共濟會Grand Lodge是特定地區的兄弟共濟會團體的管理實體。該系列包含與共濟會歷史和傳說有關的圖像,如黑白方格地板,羅盤符號等。77這一數字也與該組織傳統密切相關。

該收藏品的網站聲稱,共濟會正在利用這個收藏品,部分原因是為了“將慈善事業提高到該機構歷史上一個新的和前所未有的規模”。(Cointelegraph)[2022/9/7 13:14:30]

但是,事實真是如此嗎?

安全團隊:8月加密行業共記錄有31起重大攻擊事件,損失約2.17億美元:金色財經消息,據CertiK監測,8月份加密行業共記錄有31起重大攻擊事件,造成約2.17億美元損失,其中Nomad漏洞利用造成了1.9億美元的損失,排名第一。[2022/9/6 13:12:25]

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:INTMINTMINETHEPRINT價格MinterMINISHIB價格Fyeth.finance

POL幣最新價格
席幕楓:3.6大餅上漲情緒濃烈 晚間依舊看補漲_LIQ

多言不可與謀,多動不可與久處,交易與其沖動,還不如一動不動!大家好,我是席幕楓。心存陽光必有詩與遠方,認識老席何懼再遇荒涼?席幕楓:3.6BTC晚間行情分析Fantom社區提議將最低質押降低至5.

1900/1/1 0:00:00
Rollup割裂以太坊生態,V神、Matic、Celer等想怎么解決?_ROL

三月將會是Rollup擴容方案的高光時刻。從進度看各個?Rollup方案已經蓄勢待發,有些方案已經明確將會在3月上線,而Rollup擴容方案的上線,將會為行業帶重大影響.

1900/1/1 0:00:00
仍然是震蕩關注斐波那契回撤壓力和支撐線做短線_ARB

前幾天回落最低點拉出來的斐波那契回撤,我們提到了一次當時50700??還有后面的52500?后來受壓回落之后再次還是關注這兩個位置,那么現在的比特幣處于48800下方,昨晚層突破但沒有站穩.

1900/1/1 0:00:00
布局GTM交易所 布局NAT\NATC 布局引領未來的實物資產數_NAT

GTM交易所經過試運營已全面開動正常交易和生態建設。3月10GTM交易所將正式上線NATC/USDT交易對.

1900/1/1 0:00:00
3.6BTC今天能不能重新站穩50000大關_ARB

???比特幣經過了昨天的單邊下跌6000點,下方打到了46300附近止跌反彈。這次的下跌后后期的走勢大概率會走震蕩修復蓄勢的行情.

1900/1/1 0:00:00
下行風險加劇, 謹防突發砸盤!_比特幣

一、觀點 今天,繼續聊聊可能性的深度回調風險。其實,自從28日發文“抄底”后,基本上每天都在重申即將到來的回調,原因簡單的不能再簡單,歷史的相似性基本決定了一個事實:一次探底,遠遠不夠.

1900/1/1 0:00:00
ads