CertiK：PAID Network攻击事件还原-ODAILY

2021年3月5日，PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。攻击者使用代理合约私钥，将原先经过CertiK审计的PAID合约代码掉包，添加了销毁和铸币的功能函数。因为PAID代币已达上限，攻击者先销毁了6000万枚PAID代币，然后再重新铸造了59,471,745枚PAID，并通过Uniswap出售。CertiK团队第一时间和PAIDNetwork团队沟通调查，确认了原代码并无漏洞，攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因，但已经可以将整个攻击过程还原。PAID事件时间线

Olympus DAO计划将5000万美元流动性迁移至Balancer Protocol:1月19日消息，去中心化金融储备协议Olympus DAO已宣布与Balancer Protocol达成合作，根据治理提案显示，Olympus DAO将向Balancer Protocol协议部署5000万美元的流动性。目前Balancer Protocol锁仓量约为32.9亿美元，在DeFiLlama的DEXe排行榜上位列第五。[2022/1/19 8:59:04]

2021年3月5日，PAID遭受了持续约30分钟的攻击。通过链上分析，CertiK团队总结了攻击的时间线及操作步骤如下：第一步：合约所有权被转移给了攻击者，此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

波卡DeFi公链RioDeFi技术代码通过安全公司Certik审计:网络安全公司Certik刚刚发布了他们对RioDeFi技术代码的审计报告， CertiK还对RioDeFi以及RioDeFi钱包进行全面的审核和渗透测试。在审计中，Certik肯定了RioDeFi执行安全测试的主动性,并表明对RioDeFi安全性价值的赞赏。这项审计工作是从六个月前就开始进行了，经过长达六个月的双方密切合作终于完成了这项审计。RioDeFi是以Substrate和RUST作为底层协议开发跨链型公链，RioDeFi是DeFi基础架构平台，旨在通过桥接传统和去中心化金融来加速数字资产的采用。 这是通过跨链的技术将业务，金融机构和银行与分布式去中心化系统连接起来的解决方案。[2020/9/3]

现场 | Certik CEO Ronghui Gu：形式验证方法是实现计算机系统安全和隐私的可靠的方法:金色财经现场报道，NEO DevCon 2019开发者大会今日在西雅图举行，Certik CEO Ronghui Gu 做了以“建设可信的区块链生态”主题演讲。Ronghui Gu 表示，区块链目前是十分脆弱的，有许多执行上的漏洞。攻击区块链的受益也是巨大的，据统计截止到2017年已经有6.3亿美元的区块链资产被黑客盗取。智能合约对黑客开源，一旦执行很难去修改， 我们应该去避免区块链编程上的漏洞。程序的测试可以用于展示漏洞存在，但是它不能够去显示漏洞不存在。而形式验证的方法是目前唯一可靠的方法去实现计算机系统的安全和隐私，形式验证在数学上证明代码满足规范。[2019/2/17]

第二步：攻击者利用代理更新合约，添加了销毁和铸币的功能函数。

第三步：攻击者销毁了6000万枚PAID，留出铸币空间。第四步：攻击者开始铸币，并向Uniswap倾销PAID代币以换取以太币。最后，本次事件并没有攻击智能合约的代码本身，而是通过某种渠道获得了代理合约的私钥。CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。总结

2021年3月5日，攻击者获得PAID代理合约私钥，替换原有代码，添加了销毁和铸币的功能函数。攻击者之后销毁了6000万枚PAID代币，留出铸币空间。最后，铸造了59,471,745枚PAID，并通过Uniswap出售了2,401,203枚代币。客观来看，本次攻击事件中攻击者并没有找到任何原合约的漏洞，而是直接获得了代理合约私钥。当合约的可升级性作为项目的预期功能而存在时，它在智能合约中确实有其存在的价值。而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时，同样必须保证私钥的安全。CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器，查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告：https://certik.org/projects/paidnetwork

标签：CERPAIDAIDPAIPaycer ProtocolPAID NetworkMAID币MPAI价格

FIL热门资讯