以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > BNB > Info

Audius攻擊事件分析_PRO

Author:

Time:1900/1/1 0:00:00

本次事件的主要問題所有的相關交易梳理

FirstRoundofAttack:?

0xA62c3ced6906B188A4d4A3c981B79f2AABf2107F

對于第?次的攻擊(未能成功),細節如下

具體細節地址:

https://dashboard.tenderly.co/tx/mainnet/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

對于第?次攻擊的地址:

0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

可以看出,合約通過?Governance?合約對_proposalId?=?82和proposalId?=?83都設置了數值,但是由于沒有設置投票(vote)的數額,所以攻擊未能成功。

衍生品交易所WEEX擬以1億美元估值完成新一輪融資,FSN計劃領投:8月3日消息,加密衍生品交易所WEEX宣布將以1億美元估值完成新一輪融資,韓國數字營銷巨頭FSN計劃領投,所籌資金將主要用于擴大其全球加密貨幣市場版圖,同時給用戶提供安全交易保障。

WEEX是一家合約友好型交易所,提供跟單交易服務,FSN是韓國的數字營銷集團,計劃將業務擴展到營銷以外的行業,已布局區塊鏈、NFT等Web3領域。[2023/8/3 16:15:37]

Governance合約地址:

https://dashboard.tenderly.co/tx/mainnet/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f/contracts

SecondRoundofAttack:

過去24小時BTC鏈上手續費收入突破500萬美元:金色財經報道,Cryptofees.info數據顯示,最近24小時,以太坊鏈上手續費收入為31237609美元,Bitcoin鏈上手續費收入為5263441美元、Uniswap鏈上手續費收入為5037329美元,SushiSwap鏈上手續費收入為1425020美元、BSC鏈上手續費收入為547747美元,GMX鏈上手續費收入為426635美元。[2023/5/8 14:48:58]

0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

對于第?次的攻擊(成功),細節如下

交易:

0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

在這?,通過調?initialize()?函數,對投票進?了初始化:

ICON基金會將停止對開發團隊ICE和SNOW的資助:3月16日消息,ICON基金會宣布將停止對開發團隊ICE和SNOW的資助。ICON基金會表示,感謝ICE和SNOW團隊為將EVM兼容性引入ICON生態系統所做的努力,但ICON基金會已決定不再提供超出團隊當前合同條款的資金,因為最近關鍵成員的更替使得基金會重新評估該項目的近期未來計劃。

ICON基金會與ICE和SNOW團隊的合同將在3月底和4月底到期,已告知他們這一決定。[2023/3/16 13:08:17]

關于函數中的參數解釋

registryAddress-代理合同的地址

傳?:

0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

votingPeriod-治理提案開放投票的區塊周期。

傳?:3

以太坊網絡當前已銷毀超252.39萬枚ETH:金色財經報道,據Ultrasound數據顯示,截止目前,以太坊網絡總共銷毀2,523,964.01枚ETH。其中,ETHtransfers銷毀232,825.21枚ETH,OpenSea銷毀230,049.97枚ETH,UniswapV2銷毀134,751.10枚。注:自以太坊倫敦升級引入EIP-1559后,以太坊網絡會根據交易需求和區塊大小動態調整每筆交易的BaseFee,而這部分的費用將直接燃燒銷毀。[2022/7/10 2:02:42]

executionDelay-?在提案被評估/執?之前,在votingPeriod過期后必須通過的區塊數量。

傳?:0

votingQuorumPercent-?要求在總股份中投票的最低百分?認為提案有效。

傳?:1

maxInProgressProposals-??次可能的InProgress提議的最?數量。

印度推出首個 NFT 電子競技平臺Loco Legends:金色財經報道,印度推出首個 NFT 電子競技平臺Loco Legends,該平臺允許用戶擁有和交易電子競技數字藏品,還將與印度最受歡迎的電子競技團隊(包括 8bit、s0ul、Godlike、Revenant、Blind 和 XO 等)建立了獨家合作伙伴關系,這些頂級電競團隊是 BGMI、FreeFire Max 和 Valorant 等熱門游戲的主導者,并為粉絲提供可信的 NFT 體驗和 NFT 電競交易卡。[2022/6/27 1:33:11]

傳?:4

guardianAddress-具有特殊治理權限的帳戶地址。

傳?:

0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

根據?evaluateproposaloutcome?的結果?返回值為?3,表示該proposal?將不會被執行:

0:InProgress-提案是活躍的,可以投票表決。

1:Rejected-提案投票期已結束,投票未能通過。建議將不會被執行。

2:ApprovedExecuted-提案投票已結束,投票已通過。提案成功執行。

3:QuorumNotMet-提案投票期已結束,未達到投票法定?例。建議將不會被執行。

4:ApprovedExecutionFailed-提案投票通過,但交易執?失敗。

5:Evaluating-提案投票通過,evaluateProposalOutcome函數?前正在運行。

6:Vetoed-提案被Guardian否決了。

7:TargetContractAddressChanged-由于?標合同地址變更,建議?效。

8:TargetContractCodeHashChanged-建議被認為是?效的,因為代碼在?標合同地址已經改變。

根據?quorumMet?我們能知道發proposal=83執行失敗是因為傳?值a=?0

根據?balanceOf?()我們能查詢到?Governance合約?Audio?token的余額

To代表AudioToken數量;

From代表Governance合約余額數量;

proposal85的作?是將Governance合約?的余額轉移到攻擊合約中:

將Governance合約?和治理代幣的地址都設置為攻擊合約的地址,對應的initialize()在下?截圖中:

接下來,通過代理合約將DelegateManager合約中的serviceProviderAddress設置為攻擊合約地址

caller是DelegateManager?

input合約地址是攻擊合約的地址serviceProviderAddress()

細節在下圖中:

然后,通過Governance合約授權代幣10000000000000000000000000000000

給攻擊合約

"_targetSP":"0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569"

為攻擊合約地址

通過上述步驟,攻擊合約獲得了最?權限

0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

攻擊?員進?了投票交易proposal_id?=85,?vote?=2

在0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9這個交易中,通過proposal_id=85的審核同時進?了AudioToken的轉賬,轉賬到攻擊合約

最后?個交易:

0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3

將18,564,497AudioToken

換成?704?Ether?Token

總結

在這個攻擊中,問題是出現在對于modifier?initializer()的使?。

通過代理合約,可以多次調?初始化函數,但是原理上應該只能調??次?不是多次。雖然Audius團隊對代碼進?了多次審計,但是邏輯上的漏洞通過機器掃描往往很難發現。建議請專業的智能合約審計團隊進?多輪的邏輯審計,以后可以避免此類事件的發?。

來源:金色財經

Tags:PROPROPCONSAL8X8 ProtocolProphecyCONEGAMEUniversal Dollar

BNB
纏論解盤8.1:30分鐘向下線段已經生成 注意向下線段終結位置先買后賣_APT

7月已經成為過去式,回顧整個7月走勢,前半個月在19000-22000之間窄幅震蕩,從7月14日18900起開啟震蕩向上反彈的走勢,高點止于7月30日24668,漲幅超過30%.

1900/1/1 0:00:00
Nomad跨鏈橋遭遇黑客被盜損失數億美元 行業最強白帽解析漏洞!_MAD

Nomad事件今天霸屏幣圈,短短幾個小時被黑上億美元。而且Nomad在受到攻擊之后,TVL也在幾個小時內撤出了將近2億美元.

1900/1/1 0:00:00
區塊鏈動態2022年8月2日早參考_OIN

00:00-08:00 關鍵詞:央視網、Coinbase、歐元錨定的穩定幣、跨鏈互操作性協議Nomad橋、美股上市礦企MarathonDigitalHoldings(MARA)、紐約總檢察長辦公.

1900/1/1 0:00:00
HyperLab每周安全報告(7月31日-8月6日)_加密貨幣

Nomad代幣橋攻擊事件中41個地址獲利約1.52億美元8.2日,派盾監測顯示,Nomad被攻擊事件中,約有41個地址獲利價值約1.52億美元,包括7個MEV機器人.

1900/1/1 0:00:00
房價上漲空間與房地產板塊超額收益_ETH

尤眾元 房地產行業的流動性困境是2022年中國經濟增速的最大拖累,如果房地產行業的流動性困境無法解決,穩增長的目標難以實現.

1900/1/1 0:00:00
幣天王:8.2黑天鵝來襲 比特幣觀望情緒濃重 以太坊深度回調_BLO

各位幣友們,大家晚上好,現在是北京時間8月2日,我是幣天王,莫愁前路無知己,投資路上有知音,很開心能夠在晚上這個時間點跟各位朋友們一起復盤一下行情,也對后續的走勢做出我們的判斷.

1900/1/1 0:00:00
ads