北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
CertiK:Uranium漏洞损失资金有400枚ETH被转入Tornado Cash:金色财经消息,据CertiK官方推特发布消息称,地址(0x59d6)将400枚ETH(约75万美元)转入Tornado Cash。该笔资金来自2021年4月Uranium漏洞攻击事件,黑客从Pair合约中盗取价值约5000万美元的代币。[2023/6/30 22:10:19]
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
XRACER NFT系列与 XP Network 达成合作:据官方消息,近日,XRACER游戏团队宣布“XRACER NFT 系列与 XP Network 达成合作,扩展数字收藏品的可能性。XP Network是全球领先的 NFT 跨链桥,它可使不同区块链和 NFT 市场之间实现无缝链接的互操作性。 XRACER NFT是一个独特的数字艺术作品系列,它们能够在XRACER Play-to-Earn(边玩边赚) 游戏中帮助玩家赚取 NOS 。[2023/4/11 13:56:09]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
Balancer部署至Avalanche以及在Gnosis Chain上启用中继器的提案已投票通过:3月8日消息,Balancer社区已经投票通过两项提案。其中BIP-205提案建议在Gnosis Chain上启用中继器并添加其他缺少的权限。BIP-206提案建议将Balancer部署到Avalanche。投票通过后Balancer DAO的贡献者将在未来2-3个月内在Avalanche上进行部署。[2023/3/8 12:49:22]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
DeFi Wizard(DWZ)将于3月1日14时在Bounce Certified上开启代币销售:据官方消息,DeFi智能合约构建平台DeFi Wizard(DWZ)将于3月1日14时在Bounce Certified上开启代币销售,共提供20000 DWZ。代币合约地址为:0x7dee45dff03ec7137979586ca20a2f4917bac9fa。
此前消息,DeFi Wizard宣布完成75万美元融资,投资方包括X21 Digital、AU21 Capital、TRG Capital、DeltaHub Capital、NGC Ventures和ExNetwork。根据官方描述,DeFi Wizard是一个仪表板,单击几下即可构建关于ERC20、BEP20、EDST的DeFi智能合约、抵押合约、流动性挖矿合约等,并提供实时分析。[2021/3/1 18:03:00]
FTX现已上线Balancer(BAL) 现货、季度合约及永续合约:据官方公告,数字资产衍生品交易所FTX现已上线基于以太坊的自动做市商交易所协议 Balancer 代币 BAL 的现货、季度合约及永续合约。FTX已推出BTC、ETH、EOS等70多个永续及季度合约产品,最高支持101倍杠杆,无合约交割手续费及提币手续费。此外,FTX已于近期上线了COMP合约及DeFi指数合约,DeFi 指数合约对标一篮子热门DeFi币种。[2020/6/25]
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
Tether:将跨链转换共计10.2亿枚USDT,USDT总供应量不变5月12日消息,USDT发行商Tether宣布,Tether将与第三方协调进行跨链转换,从TronTRC20转换至EthereumERC20共计10亿枚USDT.
1900/1/1 0:00:00什么是杠杆代币? 杠杆代币是指通过运用合约等金融衍生工具,跟踪“复制”相关标的资产的价格表现,并将其放大一定倍数的基金产品。换句话说,杠杆代币就是追踪并放大数倍普通数字资产收益率表现.
1900/1/1 0:00:00什么是合并? 当前的以太坊主网最终将与信标链权益证明系统“合并”。这将标志着以太坊工作量证明的结束,以及向权益证明的全面过渡。这是在推出分片链之前的计划.
1900/1/1 0:00:006月23日,融资平台CoinList公布了2022年夏季种子项目,6个项目最终入围。包括基于Avalanche的Web3期权交易平台ArrowMarkets、基于Solana的NFT市场创建工具CandyShop、音乐创作者平台Dec.
1900/1/1 0:00:00关于为什么密码学的新进展可能对数字身份基元很重要。上一篇DAOrayaki介绍了“DAOrayaki|为什么Web3需要ZK身份?”;这篇文章介绍“如何实现”.
1900/1/1 0:00:00科学数据的语料库是分散的、受访问控制的,它们的迅速增长已经超出了中心化服务的维护能力。点对点技术的最新发展使得建立一个对所有人开放的永久科学记录档案成为可能.
1900/1/1 0:00:00