在11月2日上线后仅几个小时,Axion Network代币AXN的价格暴跌了100%。这次价格暴跌披露了其存在的漏洞,下文是CertiK安全审计团队针对此事件的完整分析。
2020年11月2日北京时间晚上七时左右?,黑客利用Axion Staking合约的unstake函数设法铸造了约800亿个AXN代币。
黑客随后将AXN代币在Uniswap交易所中兑换以太币,重复此过程,直到Uniswap中ETH-AXN交易对的以太币所被耗尽,同时AXN代币价格降至0。
在攻击发生后的几分钟内,CertiK安全审计团队获知了该攻击事件,并即刻展开了调查。
CertiK安全审计团队认为该攻击极大可能是内部操作造成的,该内部操作通过在部署代码时,对项目依赖的OpenZeppelin依赖项注入恶意代码。
LBANK蓝贝壳于3月22日18:00首发 DORA,开放USDT交易:据官方公告,3月22日18:00,LBANK蓝贝壳首发DORA(Dora Factory),开放USDT交易,现已开放充值。
资料显示,Dora Factory 是基于波卡的 DAO 即服务基础设施,基于 Substrate 的开放、可编程的链上治理协议平台,为新一代去中心化组织和开发者提供二次方投票、曲线拍卖、Bounty 激励、跨链资产管理等可插拔的治理功能。同时,开发者可以向这个 DAO 即服务平台提交新的治理模块,并获得持续的激励。[2021/3/22 19:07:06]
被恶意利用的智能合约函数不属于CertiK审核的范围内。
在将Axion项目代码和OpenZeppelin依赖代码结合并进行部署时,该恶意代码随着OpenZeppelin依赖代码被注入到部署的项目中。
黑客在发动攻击时使用的是前一天从tornado.cash?中获取的匿名资金?,说明这是一次有预谋的攻击。
首发 | imKey正式支持Filecoin,成为首批Filecoin硬件钱包:12月1日,随着imToken2.7.2版本上线,imKey同步支持Filecoin,成为业内首批正式支持FIL的硬件钱包。Filecoin作为imKey多链支持的优先级项目之一,成为继BTC、ETH、EOS和COSMOS四条公链后的第五条公链。
据悉,imKey团队已在Q4全面启动多链支持计划,计划实现imToken已经支持的所有公链项目,本次imKey升级更新,无需更换硬件,不涉及固件升级,通过应用(Applet)自动升级,即可实现imKey对Filecoin的支持及FIL的代币管理。[2020/12/2 22:52:32]
可能是以防攻击失败而节省一些资金,黑客账户在收到资金后,立即通过tornado.cash转出了2.1个以太币。
作为本次攻击的准备工作的最后一步,黑客从Uniswap交易所购买了大约70万个HEX2T代币?。然而,这些资金最终没有参与到攻击中,而是为掩护攻击行为而放出的烟雾弹。
首发 | 区块链技术及软件安全实战基地正式成立:金色财经报道,今日,中软协区块链分会、人民大学、菏泽市局相关部门联合共建的区块链技术及软件安全实战基地正式成立。同时聘任中软协区块链分会副秘书长宋爱陆为区块链技术及软件安全实战基地特别专家。
区块链技术及软件安全实战基地主要涉及领域为:非法数字货币交易与、区块链与电信、网络、四方支付、冒用商标注册等,联合社会治理、城市安全、前沿技术领域的行业专家,进行警协合作。
据公开报道,近期菏泽市下属机关刚破获一起特大电信网络案,打掉多个涉嫌以网贷和投资“比特币”为名的团伙,抓获犯罪嫌疑人83名,扣押冻结涉案资金2700万元。[2020/7/21]
在北京时间下午四时?,黑客先以数量为 0 和持续抵押时间为 1 天为参数调用stake函数,在Axion Network的抵押合同中创建“空”抵押。
首发 | 火币集团全球业务副总裁:监管将决定区块链技术和加密货币的落地速度:1月21日,火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示,对区块链和数字货币的监管态度,2019年是重要的一年。在美国,到2019年底,针对加密货币和区块链政策有21项法案,这些法案包括税收问题,监管结构,跟踪功能和ETF批准,哪些联邦机构监管数字资产等。欧盟(EU)在2020年1月10日实施了一项新法律,要求加密货币平台采取更严格的反做法。瑞士,日本,立陶宛,马耳他和墨西哥通过法律,要求交易所必须根据KYC和AML准则获得许可。中国,土耳其,泰国等国家正在计划自己的中央银行数字货币(CBDC)。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]
这为黑客创建了一个Session条目,其会话ID为6,数量为0,股价为0。
此后,黑客预料到攻击将会成功,因此向Uniswap交易所预先授权了无限制的AXN。
IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]
随后,他们批准了Axion的NativeSwap合约,以获取即将转换为AXN代币的资金额。
黑客在大约北京时间下午五时?调用了NativeSwap合约的deposit函数,然而黑客并未调用该合约的withdraw函数来获取其交换得到的AXN,这在NativeSwap合约的swapTokenBalanceOf函数清晰可见。
随后,他们在执行攻击前又调用了一次deposit函数,但是这次调用执行最终失败。
以上提到的交易仅仅是黑客为了掩护真正unstake攻击的烟雾弹。
由于黑客进行的交易未更改sessionDataOf映射,因此可以得出结论,这是一次多地址攻击。
为了找到可能导致sessionDataOf映射受到影响的原因,CertiK安全审计团队在GitHub代码存储库中审查了项目方与CertiK共享的合约源代码。
经过仔细验证,团队无法在stake函数之外检测到对其或其成员的任何修改操作,这使得我们怀疑该项目智能合约是否被正确的部署。
在分析了已部署的Staking合约源代码之后,CertiK安全审计团队在Staking合约的已部署的源代码?第665-671行发现了一处代码注入,该代码注入发生在被修改的OpenZeppelin库中的AccessControl智能合约 。
链接中的checkRole函数不属于OpenZeppelin v3.0.1的实现,而OpenZeppelin v3.0.1?在项目的GitHub代码存储库中被列为依赖项。
在checkRole函数中,存在以下 assembly模块:
此函数允许特定地址通过底层调用根据其传入的参数对合约进行任意写入。带注释的assembly 模块如下所示:
此函数是在合约部署时添加的,因为OpenZeppelin的AccessControl的实现中并不存在此函数,这意味着参与部署代币的Axion Network成员从中作梗。
此次攻击涉及到的代码,是在合约部署前被人为故意添加进去的。
此次事件与CertiK完成的审计毫无关联,对这次攻击所负责的人应是参与了Axion Network合约部署的相关人员。
在此CertiK也特别强调,为了保证审计报告的有效性,和对项目安全的保障,审计报告应包括已部署的智能合约地址。地址所指向的合约的代码应是和被审计过的源代码相同的。因此,请大家切勿因为看到项目“已审计”就不做任何背景调查而盲目跟进。
CertiK安全预言机,作为一个链上可实时交互进行安全检测的工具,可以有效确保并验证已部署的智能合约匹配已被审计的版本。
它可以从去中心化的安全运营商网络中检索一组安全评分,获得安全可靠的网络评估源代码,所有人都可以通过使用预言机来验证合约安全性。
在基于区块链的生态系统中,提高安全性就必须将传统审计与链上安全性分析相结合。CertiK安全预言机将有效减少链上交易与实时安全检测之间的距离,致力于运用去中心化的方法来解决安全难点。
参考链接:
?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4
?https://tornado.cash/
?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced
?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14
?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878
?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875
?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e
?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so
波卡区块链平台在5月份才启动其主网,但它已经成为该行业的主要竞争力量。8月下旬,在DOT代币面额变更之后,波卡跻身十大加密货币之列,超过了EOS、莱特币等山寨币.
1900/1/1 0:00:00“目前,中国企业在区块链技术研发和应用落地方面均走在世界前列。面对行业在技术落地中普遍遇到的性能、隐私保护和监管需求三大难题,中国企业已掌握了‘创新和独特的核心技术’,可以成为推动行业发展的一项‘基础工具’.
1900/1/1 0:00:00在投资币圈项目的一众参与者中,常有“代投大哥”振臂一呼:或是强调自己了解币圈私募项目优劣,实操经验丰富;或是透露自身持有特殊资质,拥有优质私募项目的额度.
1900/1/1 0:00:00昨天我在文章中写了传统投资机构投资比特币的逻辑,有朋友留言:“以太坊会不会是下一个比特币”?看到这条留言我突然想到这样一个问题:投资机构会不会也像买比特币一样这样大规模地买入以太坊?实际上已经有投资机构在持续买入以太坊了.
1900/1/1 0:00:0010月18日,由中国经济传媒协会、华夏时报联合传媒区块链产业智库等机构发起,清华x-lab数权经济实验室、火链科技等机构支持的2020年第二期媒体高层区块链知识公益培训班(链媒班)在北京开班.
1900/1/1 0:00:00经历了整整一个夏天的 DeFi 流动性挖矿热浪。现在潮水退去,我们观察到 DeFi 在这轮冲刷后更加耀眼,市场规模非但没有收缩,反而在百尺竿头更进一步。我们期待 DeFi 未来的无限可能.
1900/1/1 0:00:00