北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Balancer部署至Avalanche以及在Gnosis Chain上启用中继器的提案已投票通过:3月8日消息,Balancer社区已经投票通过两项提案。其中BIP-205提案建议在Gnosis Chain上启用中继器并添加其他缺少的权限。BIP-206提案建议将Balancer部署到Avalanche。投票通过后Balancer DAO的贡献者将在未来2-3个月内在Avalanche上进行部署。[2023/3/8 12:49:22]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
Aave上线AMM Market,允许Uniswap和Balancer的流动性提供商使用LP代币作为抵押品:3月17日消息,去中心化借贷协议 Aave (AAVE)宣布上线 AMM 市场(AMM Market),可以使 Uniswap 和 Balancer 的流动性提供商(LP)可以使用其 LP 代币作为 Aave 协议的抵押品,未来 Aave 有可能部署更多的 AMM 流动资金池。[2021/3/17 18:51:49]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
mStable:mUSD已被列入Balancer Labs白名单:稳定币聚合协议mStable发推称,mUSD已被列入Balancer Labs白名单,现在有资格获得BAL奖励。
此前消息,mStable发文介绍其协议代币Meta(MTA),MTA主要有三个功能:1. 作为再担保(保险)的最终来源;2. 协调mStable的去中心化治理;3. 激励mStable的资产流动性、效用和社区治理。目前仅功能3可用,功能1和功能2将在协议第二阶段启用。首个MTA生态系统奖励池已在Balancer上运行,通过向Balancer的mUSD/USDC流动池做贡献,每周可获得50000 MTA的份额,以及向该流动池支付的所有BAL奖励。[2020/6/28]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
②?限制了可以调用initialize()函数的权限:
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
标签:CERALALANCANCCERBERUSTor CabalaBalance.FinancePub.Finance
尊敬的CoinW币赢用户: 您好! 今年以来,对全球经济衰退和40多年来最严重通胀的担忧给新兴的加密货币市场造成了严重破坏。不管你是否承认,2022年已经成为数字资产历史上破坏性最大的熊市.
1900/1/1 0:00:0010:00数据BTC全网算力195.76EH/S当前挖矿难度27.69T理论收益0.00000448BTC/T/天ETH全网算力833.18TH/S当前挖矿难度11.43P理论收益0.
1900/1/1 0:00:00答案:管理风险 1/快速线程 2/风险。奖励的反义词。大多数加密货币/NFT新手都幻想有上行空间。FOMO'ing新项目可能会达到10倍、100倍、下一个BAYC等。但如果出现问题,就没有计划.
1900/1/1 0:00:00DearValuedUsers,CandyDropislaunchingZBConAugust3,2022.Registrationperiod:?ZBC:04:00(UTC)Aug3,2022–10:00(UTC)Aug5.
1900/1/1 0:00:00亲爱的用户: TRX及TRC20节点升级已完成,CoinW现已恢复TRX及TRC20的充值与提币功能.
1900/1/1 0:00:00金色财经报道,由DebbieStabenow担任主席的参议院农业委员会准备提出一项法案,赋予CFTC对被视为数字商品的加密货币的“专属管辖权”.
1900/1/1 0:00:00
宇宙链