北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
CertiK:pandorachainDAO項目遭受閃電貸攻擊:金色財經報道,據CertiK安全團隊監測,北京時間2022年6月22日19:52:57,pandorachainDAO項目遭受閃電貸攻擊,導致了價值約12.8萬美元的資產損失。[2022/6/23 1:25:12]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
去中心化交易所CrownSwap通過Certik安全審計:據悉,去中心化交易所CrownSwap已經通過美國知名安全審計公司Certik代碼審計,CrownSwap首創單邊流動性提供機制,有著創新的經濟激勵模型和成熟的技術團隊,在V2版本上線后,日交易額已經突破1700萬美金。[2021/12/9 13:00:28]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
DeFi Wizard(DWZ)將于3月1日14時在Bounce Certified上開啟代幣銷售:據官方消息,DeFi智能合約構建平臺DeFi Wizard(DWZ)將于3月1日14時在Bounce Certified上開啟代幣銷售,共提供20000 DWZ。代幣合約地址為:0x7dee45dff03ec7137979586ca20a2f4917bac9fa。
此前消息,DeFi Wizard宣布完成75萬美元融資,投資方包括X21 Digital、AU21 Capital、TRG Capital、DeltaHub Capital、NGC Ventures和ExNetwork。根據官方描述,DeFi Wizard是一個儀表板,單擊幾下即可構建關于ERC20、BEP20、EDST的DeFi智能合約、抵押合約、流動性挖礦合約等,并提供實時分析。[2021/3/1 18:03:00]
Certik復盤Yearn閃電貸攻擊:黑客完成5次DAI與USDT從3crv中存取操作后償還閃電貸:Certik發布文章,復盤Yearn閃電貸攻擊。黑客操作的具體操作如下:
1.利用閃電貸籌措攻擊所需初始資金。
2.利用 Yearn.Finance 合約中漏洞,反復將 DAI 與 USDT 從 3crv 中存入和取出操作,目的是獲得更多的3Crv代幣。這些代幣在隨后的3筆轉換代幣交易中轉換為了USDT與DAI穩定幣。
3.完成5次重復的DAI 與 USDT 從 3crv 中存取操作后,償還閃電貸。[2021/2/5 18:57:51]
②攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①修改了邏輯合約的存儲結構:
②限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
Tags:AUDCERCERTERTSynth sAUDTracer DAOCERT立方根CyberTime Finance
2022年8月24日,ZebecTwitterspace邀請到了Solana基金會主席LilyLiu,探討了關于支付方式在Web3中的作用以及流支付的創新.
1900/1/1 0:00:008月11日晚8點,格林納達常駐世界貿易組織代表、特命全權大使、波場TRON創始人孫宇晨先生閣下在BinanceLive平臺,就“創業十年.
1900/1/1 0:00:00據官方數據,截至6月6日,波場去中心化超抵押穩定幣USDD實時抵押率超過226%。 Huobi與波場DAO承諾永久1:1剛性承兌所有FTX平臺內波場系代幣:據官方消息,Huobi和波場DAO聯合.
1900/1/1 0:00:002022年加密貨幣中的10大黑客攻擊,我們不應該忘記。 Crypto.com 1月17日,3500萬美元一名黑客在加密貨幣交易所禁用了雙因素身份驗證.
1900/1/1 0:00:00聯合創始人表示,Tether經受住了時間的考驗Tether聯合創始人WilliamQuigley在“彭博電視”上談到了Tether和加密空間的未來.
1900/1/1 0:00:00北京時間2022年8月2日13點,CertiK安全團隊監測到ReaperFarm的ReaperVaultV2合約被惡意利用,導致了價值超過160萬美元的損失.
1900/1/1 0:00:00