BTC/HKD+0.39%
ETH/HKD+2.09%
LTC/HKD+2.93%
DOT/HKD+1.05%
ADA/HKD+5.29%
SOL/HKD+2.57%
XRP/HKD+2.81%
DOGE/US+1.8%8月10日,去中心化年金協議?PunkProtocol遭到攻擊,損失890萬美元,后來團隊又找回了495萬美元。
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,攻擊原因在于投資策略中找到了一個關鍵漏洞:CompoundModel代碼中缺少初始化函數的修飾符的問題,可以被重復初始化。希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
一、事件分析
黑客1的兩筆攻擊交易:
0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281
歐洲多臺超級計算機遭加密挖礦惡意軟件攻擊以挖掘門羅幣:5月16日消息,英國、德國和瑞士等歐洲各地的多臺超級計算機本周已被加密貨幣挖掘惡意軟件感染,并已關閉以調查入侵事件。據報道,攻擊者似乎通過破壞SSH憑證獲得了訪問超級計算機集群的權限,一旦攻擊者獲得訪問權限,就會利用CVE-2019-15666漏洞繼而部署挖掘門羅幣(XMR)的應用程序。(ZDNet)[2020/5/17]
0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa
黑客2的兩筆攻擊交易
0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b
動態 | 賽門鐵克:新型加密挖礦惡意軟件Beapy已感染亞洲數千家高資產企業:據thenextweb消息,美國網絡安全公司賽門鐵克(Symantec)稱,一款名為“Beapy”的新型加密挖礦惡意軟件已經感染了亞洲數千家高資產企業。該軟件使用電子郵件作為初始感染媒介,以最快的速度在網絡中傳播,甚至能感染打過補丁的設備。[2019/4/25]
0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1
黑客2的攻擊合約地址:
0x00000000b2ff98680adaf8a3e382176bbfc34c8f
動態 | 研究人員發現新型挖掘XMR的惡意軟件Linux Rabbit:據Live Bitcoin News消息,研究人員發現新型挖掘XMR的惡意軟件Linux Rabbit。該軟件通過影響Linux服務器和物聯網設備以挖掘XMR。[2018/12/8]
黑客2的地址:
0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a
0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c
黑客2退回的兩筆交易地址:
0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198
0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce
動態 | Make A Wish基金會官網感染加密挖掘惡意軟件:據bitcoinexchangeguide報道,根據Trustwave的一份報告,最近在常規掃描期間發現Make A Wish基金會的官方網站已感染了CoinImp加密挖掘惡意軟件。該網站被嵌入了一個腳本,竊取了網站訪問者的計算能力,然后使用該計算能力挖掘加密貨幣。據悉,Make A Wish基金會是一個向患有嚴重疾病的兒童提供幫助的國際組織。[2018/11/20]
下面以黑客1正式攻擊交易為例
黑客的攻擊執行了delegateCall,將攻擊者的合約地址寫入到compoundModel中initialize函的forge_參數。setForge(address)函數在初始化函數中執行。這是一個修改Forge地址的功能。
然后,它執行withdrawToForge函數并將所有資金發送到攻擊者的合約。
隨后在調用initialize函數發現forge_參數已經被替換成攻擊者合約的地址。
鏈接到forge_的所有CompoundModel都使用相同的代碼,因此所有資產都轉移到攻擊者的合約中。目前,導致黑客入侵的代碼已被項目方修補。添加了兩個Modifiers,這樣只有ContractCreator可以調用Initialize函數并控制它只被調用一次。
二、安全建議
本次攻擊的根本原因在于CompoundModel合約中缺少對初始化函數的安全控制,可以被重復初始化。初始化函數應只能調用一次,而且需要進行調用者權限鑒別;如果合約是使用初始化函數,而不是在構造函數中進行初始化,則應使用安全合約庫中的初始化器來進行初始化。避免合約被惡意操縱,造成合約關鍵參數和邏輯的錯誤。
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。
巴比特訊,9月13日,去中心化資產跨鏈解決方案Ren核心開發團隊宣布RenVM測試網支持Greycore。據悉,Greycore是一個半去中心化的驗證節點,為RenVM增加額外的保護層.
1900/1/1 0:00:00據Hedgeweek9月23日消息,美國量化對沖基金CambrianAssetManagement宣布將推出一只比特幣信托和一只以太坊信托,為投資者提供可避免巨大波動性的加密敞口.
1900/1/1 0:00:00安德魯·博斯沃思一直領導著Facebook的AR/VR工作,為馬克·扎克伯格設想的“元宇宙”提供核心技術.
1900/1/1 0:00:00來源:移動支付網? 根據商務部進一步開展商務領域促消費重點工作的指示,為壯大綠色循環消費,積極擴大重點領域消費,促進消費增長,9月30日起.
1900/1/1 0:00:00原標題:《數字人民幣重在場景落地》 來源:經濟日報 作者:中國社會科學院國家金融與發展實驗室楊濤?我國數字人民幣的創新探索正不斷深入.
1900/1/1 0:00:00當NFT以數百萬美元的價格出售時,許多旁觀者想知道為什么。巖石的代幣化JPEG如何具有任何價值?事實證明,原因可能并沒有那么有爭議.
1900/1/1 0:00:00
以太幣交易所
