北京时间 2023 年 5 月 20 日,Tornado.Cash 遭受提案攻击,攻击者已获利约 68 万美元。
SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。
攻击者地址:
0x092123663804f8801b9b086b03B98D706f77bD59
0x592340957eBC9e4Afb0E9Af221d06fDDDF789de9
攻击合约:
0xAF54612427d97489707332efe0b6290F129DbAcb
0x03ecf0d22f9ccd21144a7d492cf63b471916497a
Graniteshares申请了一个2倍的Coinbase ETP:金色财经报道,彭博高级ETF分析师Eric Balchunas发推称,Graniteshares刚刚申请了一个2倍的Coinbase ETP以及其余15个ETP。[2022/2/28 13:28:18]
0x7dc86183274b28e9f1a100a0152dac975361353d(部署合约)
0xc503893b3e3c0c6b909222b45f2a3a259a52752d(假提案合约)
被攻击合约:
0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce
发起提案交易:
0x34605f1d6463a48b818157f7b26d040f8dd329273702a0618e9e74fe350e6e0d
Genesis Shards即将向用户发放Gen Ticket NFT:据官方消息,基于波卡的去中心化生态系统Genesis Shards宣布即将向用户发放Gen Ticket NFT,用户可在OpenSea平台的以太坊钱包中查看NFT并进行交易。每张Gen Ticket包含了不同数量的GS代币,可以在IDO时进行兑换。[2021/4/14 20:16:58]
攻击交易:
0x3274b6090685b842aca80b304a4dcee0f61ef8b6afee10b7c7533c32fb75486d
攻击流程:
(1 )首先,攻击者(0x08e80ecb)先向被攻击合约(0x5efda50f)发起了一个提案,并宣称此提案是16 号提案的补充
可持续加密矿业公司MintGreen完成种子轮融资 CoinShares领投:可持续加密矿业公司MintGreen已完成种子轮融资,数字资产管理公司CoinShares领投。此轮融资资金其中一部分或将用于支持两个试点项目,旨在利用MintGreen的专有技术提高比特币挖矿的能源效率。两个试点项目将于下季度开始。试点项目内容包括将比特币开采产生的热废物出售给温哥华岛海盐设施公司,用于烧水和提炼盐片。(Cointelegraph)[2021/3/17 18:52:36]
伊朗裔美国作家Koosha Azim合著稳定币相关书籍:金融技术创新者、伊朗裔美国作家Koosha Azim与Alyze Sam和Adam Alonzi共同撰写《稳定币经济:安全数字金融的终极指南》。
据悉,Azim还是非洲区块链大学(ABU)技术总监,他曾在7个非洲国家组织9个区块链夏令营。在ABU,他正在将稳定币图书课程整合到非洲大学。(PRNewswire)[2020/6/18]
(2 ) 但提案中实际上存在一个额外的自毁函数。
(3 )很遗憾的是社区并没有发现此提案中存在问题,大多数成员都投票通过了这次提案。
(4 )攻击者创建了很多个合约来实行代币的转移
(5 )攻击者(0x08e80ecb)销毁了提案合约(0xc503893b)和他的创建合约(0x7dc86183)。随后在相同的地址重新部署了攻击合约(0xc503893b)。
(6 )修改完提案合约后,攻击者(0x08e80ecb)执行提案并将自己所控制的合约地址的代币锁定量都修改为10000 。
(7 )提案执行完成后,攻击者(0x08e80ecb)将代币转移到自己的地址,并获得被攻击合约的所有权。
漏洞分析:
由于提案合约(0xc503893b)的创建合约(0x7dc86183)是通过creat 2 进行部署的,所以两个合约销毁之后,在同一地址上可以部署新的逻辑合约,并且提案执行是通过delegatecall的形式调用,攻击合约可任意修改被攻击合约中的值。
事件总结:
本次事件发生原因是由于社区在检查提案时未能发现提案中存在的风险,并没有认真核实提案合约的代码是否存在安全漏洞。
针对本次攻击事件,我们在开发过程中应遵循以下注意事项:
(1 )在进行提案设计时充分考虑提案机制的安全性并尽量降低提案被中心化控制的风险,可以考虑通过降低攻击的价值,增加获得投票权的成本,以及增加执行攻击的成本等方式结合实际妥善设计。
(2 )在进行提案的投票前,社区应慎重检查合约代码是否有后门。
(3 )在提案通过前,可联系第三方安全审计公司对合约逻辑代码进行安全审计。
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Odaily星球日报
欧科云链
MarsBit
标签:NBSBSPSHA0X0NBS价格BSPAY价格Aree Shards0x0.ai: AI Smart Contract
作者:LeftOfCenter据知情人士透露,OpenAI 创始人 Sam Altman 正在为其创立的另一个加密项目 Worldcoin 寻求 1 亿美元的新一轮融资,目前已经进行深入谈判阶段.
1900/1/1 0:00:00金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事.
1900/1/1 0:00:00据报道,区块链开发是增长最快的行业之一。随着链上项目(DeFi、NFT、DAO)的爆炸式增长,对区块链开发者的需求也急剧上升.
1900/1/1 0:00:00撰文:肖飒法律团队 自 11 月香港财经事务与库务局(财库局)正式发布了《有关香港虚拟资产发展的政策宣言》,标志着香港作为我国最为国际化、经济活动最频繁的金融地区之一,正式加入了竞争世界虚拟资产中心的大潮中.
1900/1/1 0:00:00Aleo是第一个使用零知识证明解决隐私问题、同时保证可编程特性的公链。Aleo提供的隐私保护包括隐藏参与者、金额、智能合约等交互细节,而且Aleo还将智能合约执行转移到链下,支持各种Dapp,保证其可拓展性(每秒数千笔交易).
1900/1/1 0:00:00作者:oxTodd,Nothing Research 合伙人 来源:作者Twitter /img/2023525181452/0.jpg" />Worldcoin 这个想法最早确是 Sam 提出的.
1900/1/1 0:00:00