宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Luna > 正文

首发 | PAID Network攻击事件还原

作者:

时间:1900/1/1 0:00:00

本文由Certik原创,授权金色财经首发。

2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。

因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

首发 | Bithumb将推出与Bithumb Global之间的加密资产转账服务:Bithumb内部人士对金色财经透露,Bithumb推出和Bithumb Global之间的加密货币资产免手续费快速转账服务,每日加密货币资产转账限额为2枚BTC。此消息将于今日晚间对外公布。据悉,目前仅支持BTC和ETH资产转账。[2020/2/26]

CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。

首发 | 蚂蚁矿机S17真机图首次曝光 采用双筒风扇及一体机设计 ?:继正式宣布在4月9日现货销售后,比特大陆即将发布的新品蚂蚁矿机S17又有了新动态。据悉,蚂蚁矿机S17真机图今天在网上首次曝光。

从曝光的图片来看,蚂蚁矿机S17延续上一代产品S15的双筒风扇设计,且采用一体机的机身设计。有业内人士认为,采用双筒设计可有效缩短风程,矿机出入风口的温差变小,机器性能将得到很大改善。

此前比特大陆产品负责人在接受媒体采访时表示,新品S17较上一代产品相比,无论是在能效比还是单位体积的算力等方面,均有较大提升。[2019/4/3]

2021年3月5日,PAID遭受了持续约30分钟的攻击。

IMEOS首发 EOS Go公布新增两条复选条件 :据金色财经合作伙伴IMEOS报道:今日,EOS Go在 steemit上公布新增的两条复选条件为:

1. 保证安全的计划:候选节点是否在steemit上发布文章介绍该节点的安全方法和计划,“安全方法”标准是向EOS选民展示安全最佳实践知识和组织实施计划的机会;

2. 立场:描述该节点分享通胀奖励和/或向EOS代币持有人派发股息的立场(候选节点在steemit发布)。主要阐述以下两个问题:

该组织是否会出于任何原因向EOS令牌选民提供支付,包括BP选举和社区建议?

该组织是否有书面的无票付款政策?如果是这样,请提供一个链接。[2018/4/27]

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。

第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:

https://certik.org/projects/paidnetwork

标签:AIDPAIDPAIcertikAIDOGEXLM币paid币在哪能交易PAID币certik币价

Luna热门资讯
DeFi下一步需要做什么来保持机构参与者的兴趣?

过去几个月,机构资金疯狂涌入比特币,这让加密货币成为了新闻头条——至少是作为一种新奇的资产,最多是一种必须拥有的资产。毫无疑问,市场上有一种趋势——越来越多的人意识到并接受数字资产作为一种新的可投资资产类别.

1900/1/1 0:00:00
算法稳定币Basis与DeFi乐高

现在算法稳定币不是市场热点,短期内很难有亮眼表现,且参与算法稳定币也有极高的风险。所以这里需要特别提示的是,算法稳定币有归零风险,如无风险承受能力,千万不要参与.

1900/1/1 0:00:00
支持区块链技术发展 赋能数字经济

“在‘十四五’时期,支持区块链技术发展,有利于赋能实体经济、优化社会治理、提升我国国际竞争力。”全国政协常委、副秘书长,民建中央副主席兼秘书长李世杰在全国两会召开前夕对中国经济时报记者表示.

1900/1/1 0:00:00
超300倍市盈率 Coinbase上市是助涨牛市还是拐点信号?

Coinbase又有了新的上市进展。适逢加密货币市场大跌之际(BTC在7日内跌幅逾22%),Coinbase向SEC递交了上市申请,将采用非IPO的直接上市方式登陆纳斯达全球精选市场.

1900/1/1 0:00:00
案例:跨境代买加密币 被赖账咋办?

上周,飒姐团队通过一则案例介绍了BTC矿机丢失的民事救济途径(详见《案例|BTC矿机失窃,中国法律保护么?》),几位读者后台留言表示对比特币委托理财纠纷也很关注。今日,飒姐团队再分享一个案例,看看委托他人代买加密货币的法律风险.

1900/1/1 0:00:00
DeFi 将吞噬中心化信贷市场吗?

数百年来,信贷市场都是经济发展的主要推动因素之一。早在公元前 1780 年,美索不达米亚的农民就将自己的农场作为抵押物来借款,从而获得现金流,直到下一次收获(这就是最早的 “Yield Farmer”).

1900/1/1 0:00:00