宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 世界币 > 正文

首发 | 不借助漏洞的攻击?True Seigniorage Dollar攻击事件分析

作者:

时间:1900/1/1 0:00:00

本文由CertiK原创,授权金色财经首发。

北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件,总损失高达约1.66万美金。

此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。

技术分析?

整个攻击流程如下:

①?攻击者

地址:?

0x50f753c5932b18e9ca28362cf0df725142fa6376

通过低价收购大量TrueSeigniorageDollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。

百度Apollo首发 “Apollo 001”系列纪念数字藏品:金色财经报道,据百度Apollo智能驾驶官方公众号,百度Apollo全网首发首款 “Apollo 001”系列纪念数字藏品,以百度汽车机器人为主体形象,每款对应一个百度Apollo自动驾驶重要里程碑事件。据悉,该数字藏品将于2022年7月8日 09:55发布汽车机器人家族全家福空投款。[2022/7/7 1:58:19]

图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息

②?在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。

首发 | 欧科云链推出“天眼方案”推动链上安全系统再升级:8月28日,区块链产业集团欧科云链宣布推出区块链“天眼方案”,主要通过链上数据追踪系统研发、对外技术支持、凝聚企业众力等途径,全面助力区块链安全提升和产业平稳健康发展。

据了解,在“天眼方案”下,欧科云链集团将打造链上数据追踪系统,通过溯源数字资产、监控非法交易等手段,全力遏制等非法行为;协助执法机关办案,并为打造法务等区块链系统提供技术支持;为联盟链和基于各类业务的链上数据提供区块链+大数据的解决方案。[2020/8/28]

恶意代币实现合约地址:

0x26888ff41d05ed753ea6443b02ada82031d3b9fb

首发 | 嘉楠耘智宣布与Northern Data在AI、区块链等高性能计算领域达成战略合作:据官方消息,2020年2月17日,嘉楠耘智宣布与区块链解决方案及数据中心服务提供商Northern Data AG达成战略合作。本次合作的内容涵盖AI、区块链及数据中心运维等高性能计算领域。

嘉楠耘智拥有丰富的高性能计算专用ASIC芯片研发经验。Northern Data AG则专注于区块链和数据中心等高性能计算基础设施的建设。通过本次战略合作,双方将在AI、区块链等新兴领域进一步释放增长潜能。[2020/2/19]

图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约

首发 | DVP: Bitstamp交易所存在漏洞 可导致大量KYC等信息被泄露:金色财经讯,近日,DVP收到安全人员提交的全球知名交易所Bitstamp的漏洞,攻击者可以利用该漏洞查看大量用户ID、银行卡等敏感信息,严重威胁用户信息安全。为避免发生KYC泄露的恶性事件,DVP安全团队在收到该漏洞后,第一时间通知该平台进行修复,但未收到回应。DVP提醒相关用户关注个人信息安全,以免造成损失。[2019/8/13]

图3:攻击者利用所持地址之一建立恶意代币实现合约

③?当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币

④?同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。

通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。

图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法

图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币

⑤?当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。

图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD

总结

此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。

攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。

虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。

CertiK安全技术团队建议:

从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。

标签:区块链TSDAPOAPOLLO区块链通俗易懂的例子有哪些FingerprintsDAOAPO币APOLLO币

世界币热门资讯
火币晚报:路透社称印度政府计划最终禁止加密货币

日期:2021-03-15 行情分析 BTC日内大幅下跌,成交量明显放大 超过1252.6万USDT从火币转入FTX:Whale Alert数据显示,以太坊链上发生大额转账,超过1252.6万USDT从火币交易所转入FTX交易所.

1900/1/1 0:00:00
2021芯片产能全解密:大陆神马嘉楠三强悄然生变

作者:ColinWu 神马三星产能紧缺,比特大陆与嘉楠分别争取台积电5nm与中芯n+1产能,但也有较大的不确定性.

1900/1/1 0:00:00
马斯克的NFT值多少钱?一名加密用户出价十万美元

原标题:《一名加密用户恶作剧出价十万美元竞拍由马斯克推文铸造的NFT》加密领域的所有潮流——非同质化代币(NFT)、机构采用比特币、古怪的狗狗币——都在特斯拉首席执行官埃隆·马斯克那里找到了归宿.

1900/1/1 0:00:00
Messari分析师:“通缩”的以太坊可能会超过比特币,成为最大的加密资产

加密分析公司Messari高级研究分析师RyanWatkins推测,一旦Eth2和PoS彻底完成,以太坊可能会取代比特币成为最大的加密资产.

1900/1/1 0:00:00
DeFi之道 | 一文了解Polygon(Matic)——以太坊的区块链互联网

Polygon是一个什么样的区块链?它将如何帮助以太坊进行扩展?为什么它声称是以太坊的区块链互联网?为什么它有时会被人们比作波卡和Cosmos?你将在本文中找到这些问题的答案。 首先,让我们来看看Polygon是如何产生的.

1900/1/1 0:00:00
一图了解KSM质押流动性方案:rKSM

在StaFirKSM产品上线之前,这张图片可以帮助你更好地了解StaFirKSM产品以及为什么要使用rKSM产品。 1.rKSM产品 rKSM产品是解决Kusama网络质押资产KSM流动性问题的去中心化App.

1900/1/1 0:00:00