宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 波场 > 正文

CertiK:不借助漏洞的攻击?True Seigniorage Dollar攻击事件分析

作者:

时间:1900/1/1 0:00:00

北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件,总损失高达约1.66万美金。此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。技术分析

整个攻击流程如下:①攻击者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通过低价收购大量TrueSeigniorageDollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。

以太坊侧链Gnosis Chain集成Balancer:3月23日消息,以太坊侧链Gnosis Chain的生态系统团队Gnosis Builders宣布集成DeFi协议Balancer。这一集成为Gnosis Chain带来了深度流动性,并将允许用户使用Balancer App和DeFi收益率助推器Aura等应用程序部署资金。

GnosisDAO与Karpatkey合作推动了集成,并将成为流动性池的第一个采用者。(PR Web)[2023/3/23 13:20:26]

zkSync将与buidl box合作于2月20日至3月19日举办首个zkSyncEra?系列黑客松:金色财经报道,基于ZKRollup的以太坊二层网zkSync宣布将与buidl box合作开启zkSyncEra?系列黑客松中的首个,此次黑客松于2月20日至3月19日举行,专注于帐户抽象和Web3安全,奖池为2.5万美元。[2023/2/18 12:15:04]

图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息②在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。恶意代币实现合约地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb

区块链安全公司CertiK将于10月24日上线CertiK主网:区块链安全公司CertiK宣布CertiKChain主网将于北京时间2020年10月24日22点24分上线。据此前报道,9月中旬,CertiK基金会正式开源CertiKChain。目前已开放使用的产品包括CertiKChain、去中心化CertiK安全预言机、用于编写安全智能合约的安全编程语言和编译器工具链DeepSEA工具链。[2020/10/22]

图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约

去中心化组织PieDAO发布USD++ Balancer池:在Balancer协议上构建多样化代币池的去中心化组织PieDAO在周二宣布主网发布USD++池。该池将几个与美元挂钩的顶级稳定币组合成一个可交易的代币。USD++池将包含DAI、sUSD、TUSD和USDC。USDC将占USD++池的47%以上,而sUSD权重最低,不到4%。

加权策略旨在为中长期持有者创造低波动性和信任最小化。(Decrypt)[2020/6/18]

图3:攻击者利用所持地址之一建立恶意代币实现合约③当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币④同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。

图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法

图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币⑤当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。

图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD总结

此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。CertiK安全技术团队建议:从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。

标签:CERUSDERTcertikDisbalancerbusd币历史最高价cointigertopcertik币价

波场热门资讯
视频 | 8年来,比特币跑赢了多少全球主流资产?

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 MintClip宣布与Polygon集成,将在Polygon上推出专用于YouTube视频的NFT市场:据官方公告,MintClip宣布与Polygon集成.

1900/1/1 0:00:00
DeFiance合伙人:为什么说Bancor可能会是DEX赛道被低估的黑马?

编者按:本文来自链闻ChainNews,作者:Wangarian,就职于DeFi投资基金DeFianceCapital,翻译:卢江飞,星球日报经授权发布.

1900/1/1 0:00:00
如何参与去中心化项目的治理

编者按:本文来自闪电HSL,作者:黄世亮,Odaily星球日报经授权转载。去中心化组织Dao这个概念在币圈特别重要,本文想讨论如何参与去中心化项目的治理。先定义什么叫治理.

1900/1/1 0:00:00
2个月卖出3.7亿美金,这个爆火的NBA盲盒怎么玩

过年前,人人都在说,DeFi是未来,是2021年的主旋律。而过完年回来,各种文章又说NFT极具想象力,是2021年的大风口。币圈的热点怎么就变得这么快呢?最近,NFT的市场热度确实出现了飙升.

1900/1/1 0:00:00
数据:中心化交易所比特币余额正在耗尽,过去4个月100亿美元比特币流出

编者按:本文来自巴比特资讯,作者:JamieRedman,编译:夕雨,星球日报经授权发布。比特币价格在过去两天内恢复了上涨势头,在本周二早上触及2021年3月的高点54822美元.

1900/1/1 0:00:00
?超11,000个站点,Fleek计划将其支持的以太坊应用和NFT项目迁移至DFINITY的互联网计算机

Fleek支持的11,000个基于传统和区块链的网站将开始迁移至互联网计算机抛弃传统的区块链解决方案,Fleek还将把自己的托管服务迁移至互联网计算机.

1900/1/1 0:00:00