以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > 酷幣 > Info

拯救智能合約漏洞,這個一夜之間成立的白帽團隊如何守護近1000萬美元?_FIN

Author:

Time:1900/1/1 0:00:00

概述

一名白帽黑客在某以太坊智能合約中發現了一個漏洞,導致近1000萬美元的ETH處于危險之中。

一夜之間,一個救援小組成立了,將這些資金轉移到安全的地方。

這次行動集合了來自世界各地的區塊鏈安全專家和礦工的力量。

一名區塊鏈安全研究員和一個被稱為samczsun的白帽黑客,今天公布了一份詳細的“事后報告”,該報告講述了一次秘密行動,該行動解救了25000個ETH,當時價值超過960萬美元。這些資金是從一個有漏洞的智能合約中解救出來的。

基于Solana的氣候變化項目使用“NFTrees”來拯救雨林:金色財經報道,GainForest開始與巴拉圭環境部(MADES)合作,保護巴拉圭大查科美洲區(grand Chaco Americano)數千公頃的森林。GainForest將衛星圖像與數據科學相結合,旨在激勵土地所有者不再砍伐樹木。GainForest的目標是籌集加密貨幣捐款,從土地所有者手中購買森林,擴大國家公園,防止森林砍伐。該項目將基于區塊鏈的智能合約與衛星圖像、無人機攝影和數據科學相結合,自2017年贏得聯合國COP 23 Hack4Climate競賽以來,一直穩步增長。GainForest聯合創始人David Dao表示,這使得GainForest成為首個政府支持的綠色加密項目。(coindesk)[2022/4/22 14:40:32]

9月15日,samczsun正在查看一些以太坊智能合約,尋找漏洞。后來,他發現了LienFinance協議的一部分存在問題:一份包含超過25000個ETH的智能合約。

拯救YAM投票已滿足要求,將重新部署合約:8月13日,拯救YAM投票已滿足最低16萬代幣委托要求。截至發稿,代幣投票已委托超過18萬枚,距離下一個延展目標(Stretchgoal)不到一萬枚代幣委托。據YamFinance表示,參與投票委托的用戶將會獲得一定的獎勵。此前消息,YamFinance發現彈性供應調整合約存在漏洞,導致彈性供應調整(rebase)時鑄造大量額外的yCRV。YamFinance表示,需要持幣人將16萬代幣委托給該項目發起人BrockElmore以修復漏洞。[2020/8/13]

這些錢可能會被任何人拿走。

ET CETERA商城推出“拯救者”計劃:據官方消息,ET CETERA官網最新消息,ET CETERA商城推出“拯救者”計劃。“拯救者”計劃是指消費者在商城消費,平臺以EMC積分返還給消費者;除此之外,平臺商家讓利16%給平臺,平臺以EMC積分的模式獎勵給消費者,同時獎勵商家,收益獎勵按每天萬分之三到萬分之五釋放。[2020/4/19]

根據報告,這個智能合約包含了“銷毀”功能。也就是說,任何用戶都可以為自己制造大量毫無價值的代幣,并用它們來交換合約中的ETH,從而獲得了價值近1000萬美元的緩存。看在DeFi的份上,Samczsun決定介入。

動態 | 瑞波社區發起請愿:銷毀一半XRP,拯救幣價:8月5日,交易員Crypto Bitlod發起一份請愿書,建議瑞波公司應該銷毀一半的XRP,不再向加密市場釋放XRP,并表示這將有助于價格上漲。截至目前,該請愿書已有560個簽名。這位交易員在推特上擁有超過10萬名粉絲。(雅虎財經)[2019/8/8]

由于LienFinance的團隊是匿名的,因此白帽黑客會通過尋找一些潛在的關系來聯系任何相關人員。AlexanderWade和以太坊安全專家ScottBigelow很快加入了這場救援行動。

實際上,有兩種方法可以解決這個問題。首先,LienFinance本可以公開披露漏洞,但這將為黑客盜取資金創造一個完美的機會——就像在旁邊放了一個“歡迎免費拿錢”的牌子。

其次,白帽黑客團隊本可以攻擊這個智能合約,然后將資金歸還給它們的合法所有者。但這肯定會吸引機器人——以太坊內存池的頂端捕食者。

內存池,即“以太坊的黑暗森林”,它是一個特殊的“集結區域”,交易在被礦工接受并包含在下一區塊之前會聚集在這里。這一地區經常有“領跑者”巡邏,他們是專門的機器人,尋找任何可以利用的交易以進行劫持。

基本上,領跑者可以自動復制內存池中的任何交易,用自己的地址替換它的地址,并確保這個操作首先被礦工抓取。在目前的情況下,這意味著1000萬美元很容易被領先者在幾秒鐘內偷走。保密是非常必要的。

在區塊鏈研究者TinaZhen的幫助下,CertiK和以太坊礦池SparkPool都參與了救援工作,并最終與LienFinance取得聯系。

經過短暫的試運行后,SparkPool的程序員花了接下來的幾個小時開發和測試一種專門的“白帽API”,它可以讓礦工在不顯示在內存池的情況下獲取交易。接下來,白帽黑客團隊的成員完成了生成四個連續簽名交易的腳本,這些交易最終將拯救25000個ETH。

但這些交易并不是為了直接提取資金。如果按照正確的順序執行,他們將把30000個SBT和LBT代幣轉移到LienFinance中,允許在最后的操作中通過銷毀功能將這些代幣轉換回ETH。

當所有準備工作完成后,白帽黑客團隊終于開始了救援行動。通過與一家挖礦公司合作,這些交易成功地避開了機器人。這是因為交易沒有發送到內存池——它們直接被礦工放在了一個區塊中。

報告中表示:

“在調整交易創建腳本以將交易直接提供給SparkPool的新端點之后,該是時候了。我猶豫了一會兒,但這絕對是我們能做的最大的努力了。我們可能會損失960萬美元,但不會感到遺憾。在我們的交易被包含進來之前,其花費了大約15個區塊,感覺就像幾個小時,但最終,我們擁有了完美的交易:按序挖礦,不需要回滾。”

現在,LienFinance團隊需要做的就是使用銷毀函數用SBT和LBT換取ETH。在最后的交易完成后不久,Etherscan報告其成功完成,拯救了25000ETH。

至此,白帽團隊“逃離了黑暗的森林”,并拯救了一筆小財富。

Tags:FINNANETHFINAPinkslip FinanceCylum FinancestETH幣Pepper Finance

酷幣
DeFi代幣被超賣,收益和TVL表明DeFi代幣會出現反彈_DEFI

在過去的一個月里,加密市場經歷了相當大的波動,因為持續6個月的山寨幣牛市突然結束,最近比特幣(BTC)的價格在12000美元處遭到拒絕.

1900/1/1 0:00:00
FIL+DeFi,DeFil究竟是什么?_FIL

DeFi熱潮自今年6月起,逐漸蔓延區塊鏈圈。盡管出現諸如盜幣這類安全事件,到如今DeFi依然成為“接盤”BTC、ETH的一大浪潮.

1900/1/1 0:00:00
歐洲央行行長:正在“非常認真地”考慮創建數字歐元_數字貨幣

歐洲央行行長拉加德表示,歐洲央行正在“非常認真地”考慮創建一種數字歐元。 拉加德周一在國際貨幣基金組織的線上活動上表示,今年的新冠疫情造成了許多結構性變化,包括“我們的工作、我們的貿易和我們的支.

1900/1/1 0:00:00
螞蟻鏈國際貿易平臺Trusple發布,中小企業“賣全球”不再愁_PLE

9月25日,螞蟻集團副總裁、智能科技事業群總裁蔣國飛在外灘大會上發布Trusple平臺,該平臺是基于螞蟻鏈技術的全新國際貿易和金融服務平臺.

1900/1/1 0:00:00
如何通過錢包保證加密資產的安全性?_COI

作者?|OctavianContis??翻譯?|Olivia??在我了解了所有的加密術語之后,我在加密領域遇到的另一個問題就是如何保證安全性.

1900/1/1 0:00:00
德勤報告:全球商業領袖都在押注,區塊鏈已上升為全球Top5的戰略性技術_區塊鏈

來源:德勤 翻譯:達瓴智庫 德勤對區塊鏈技術有著非常敏銳的前瞻性。從2018年起,一直在跟蹤和調查區塊鏈技術在全球使用的情況.

1900/1/1 0:00:00
ads