以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > OKB > Info

CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析_ERT

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析

整個攻擊流程如下:①攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。

CertiK:警惕推特上假冒Arkham Intel空投的虛假宣傳:金色財經報道,據CertiK官方推特發布消息稱,警惕推特上假冒Arkham Intel空投的虛假宣傳,請用戶切勿與虛假宣傳鏈接互動,虛假宣傳的網站會連接到一個已知的自動盜幣地址。[2023/7/17 10:59:43]

圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息②在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb

CertiK:ALG代幣跌幅超過94%,需警惕風險:5月30日消息,CertiK Alert發推稱,此前曾在5月17日提醒社區ALG代幣暴跌超過99%。5月19日,新ALG代幣被創建,今天的跌幅超過94%,CertiK提醒社區警惕風險。合約創建者地址為0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]

圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

區塊鏈安全公司CertiK將于10月24日上線CertiK主網:區塊鏈安全公司CertiK宣布CertiKChain主網將于北京時間2020年10月24日22點24分上線。據此前報道,9月中旬,CertiK基金會正式開源CertiKChain。目前已開放使用的產品包括CertiKChain、去中心化CertiK安全預言機、用于編寫安全智能合約的安全編程語言和編譯器工具鏈DeepSEA工具鏈。[2020/10/22]

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約③當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

動態 | 區塊鏈安全公司CertiK下周將推出認證鏈的公開測試版:據CoinTelegraph今日報道,區塊鏈安全公司CertiK宣布將在下周推出其認證鏈CertiK Chain的公開測試版CertiK Chain Testnet 3.0。[2019/11/22]

圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣④同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。

圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣⑤當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。

圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD總結

此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:ERTcertikCERTCERRobert F Kennedy Jrcertik幣價Animal ConcertsCER價格

OKB
數據:CME比特幣期貨日均交易量在1月份增長57%_比特幣

編者按:本文來自Cointelegraph中文,Odaily星球日報經授權轉載。比特幣的價格在1月份大幅上漲。同月,芝加哥商品交易所(CME)也創下了比特幣期貨交易量的紀錄.

1900/1/1 0:00:00
“女神節”福利!數字人民幣首次在上海開啟營銷活動_數字人

編者按:本文來自數字法幣研究社,作者:佘云峰,星球日報經授權發布。新民晚報訊:上海商場也能使用數字人民幣了!就在“女神節”期間的新世界城和新世界大丸百貨.

1900/1/1 0:00:00
漸入佳境的Filecoin,未來究竟有多大潛力?_ECO

“愷之每食甘蔗,恒自尾至本,人或怪之。云:‘漸入佳境。’”,古人吃甘蔗時悟出,自上而下,越吃越甜。無獨有偶,相信Filecoin的生態參與者們此刻也感同身受,由內到外,越挖越香.

1900/1/1 0:00:00
詳解杠桿效應特點以及風險_比特幣

杠桿作用是指投資者持倉量超出當前賬戶凈資產,從而使投資者可以用相同的初始資本開更大的倉位。獲得杠桿的方法有多種——加密貨幣世界中的主要三種,分別是借貸,衍生品交易和協議杠桿.

1900/1/1 0:00:00
歐易OKEx:NFT火到出圈,普通人如何參與投資?(附教程)_NFT

最近一段時間,NFT火到出圈。3月6日,據BBC報道,Twitter創始人杰克?多西將自己有史以來第一條推特以NFT形式出售,內容僅為五個單詞——“justsettingupmytwttr”,拍.

1900/1/1 0:00:00
Coinbase上市:里程碑與新起點_COI

編者按:本文來自吉時通信,Odaily星球日報經授權轉載。2月25日,加密資產交易所Coinbase公布S-1文件,其A類股將在納斯達克全球精選市場直接上市,代碼為“COIN”.

1900/1/1 0:00:00
ads