本次事件的主要问题所有的相关交易梳理
FirstRoundofAttack:?
0xA62c3ced6906B188A4d4A3c981B79f2AABf2107F
对于第?次的攻击(未能成功),细节如下
具体细节地址:
https://dashboard.tenderly.co/tx/mainnet/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
对于第?次攻击的地址:
0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
可以看出,合约通过?Governance?合约对_proposalId?=?82和proposalId?=?83都设置了数值,但是由于没有设置投票(vote)的数额,所以攻击未能成功。
联合国提议建立与银行账户和移动支付平台绑定的数字身份系统:金色财经报道,联合国正在提议建立一个通用数字身份系统,该系统将直接连接到人们的银行账户和支付应用程序,该提议由联合国秘书长António Guterres提出。[2023/6/25 21:58:54]
Governance合约地址:
https://dashboard.tenderly.co/tx/mainnet/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f/contracts
SecondRoundofAttack:
0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
对于第?次的攻击(成功),细节如下
交易:
吴彦祖宣布成为IP Genesis创作者,或将参与发行NFT:金色财经报道,吴彦祖在推特上转载一条推文并在视频中宣布成为IP Genesis创作者,该视频共创者名为0xGNSS,主页官网带有 NFT 字样,显示该 IP 与 NFT 创作相关。[2023/4/14 14:04:47]
0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
在这?,通过调?initialize()?函数,对投票进?了初始化:
关于函数中的参数解释
registryAddress-代理合同的地址
传?:
0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
votingPeriod-治理提案开放投票的区块周期。
Euler Finance社区就如何将追回的被盗资金分配给用户进行投票:Euler Finance社区就如何将追回的被盗资金分配给用户进行投票
金色财经报道,DeFi借贷协议Euler Finance背后社区正在就如何将追回的被盗资金分配给用户进行投票,如果该计划获得批准,Euler将使用协议因黑客攻击而被禁用时的价格来计算用户资产和负债的价值。
此前报道,Euler Finance在3月份遭受了2亿美元的黑客攻击,该团队上周表示,它已经收回了在黑客攻击中被盗的所有“可追回资金”。根据Euler治理论坛的提议,收回的资金总额超过95,556个ETH和4300万个DAI稳定币。未追回的资金包括发送到Tornado Cash的1,100ETH和发送到与Lazarus Group相关地址的100ETH,Lazarus Group是一个据称与朝鲜有关的黑客组织。[2023/4/11 13:55:39]
传?:3
984枚BTC从Coinbase转至未知钱包:金色财经报道,Whale Alert数据显示,984枚BTC(价值24,297,486美元)从Coinbase转移到未知钱包。[2023/2/16 12:10:28]
executionDelay-?在提案被评估/执?之前,在votingPeriod过期后必须通过的区块数量。
传?:0
votingQuorumPercent-?要求在总股份中投票的最低百分?认为提案有效。
传?:1
maxInProgressProposals-??次可能的InProgress提议的最?数量。
传?:4
guardianAddress-具有特殊治理权限的帐户地址。
传?:
0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
Bored Ape Yacht Club NFT近24小时交易额增幅超180%:金色财经消息,据OpenSea最新数据显示,Bored Ape Yacht Club NFT系列近24小时交易额为861.41 ETH,24小时增幅186.79%。目前地板价为93.6 ETH。[2022/7/22 2:30:02]
根据?evaluateproposaloutcome?的结果?返回值为?3,表示该proposal?将不会被执行:
0:InProgress-提案是活跃的,可以投票表决。
1:Rejected-提案投票期已结束,投票未能通过。建议将不会被执行。
2:ApprovedExecuted-提案投票已结束,投票已通过。提案成功执行。
3:QuorumNotMet-提案投票期已结束,未达到投票法定?例。建议将不会被执行。
4:ApprovedExecutionFailed-提案投票通过,但交易执?失败。
5:Evaluating-提案投票通过,evaluateProposalOutcome函数?前正在运行。
6:Vetoed-提案被Guardian否决了。
7:TargetContractAddressChanged-由于?标合同地址变更,建议?效。
8:TargetContractCodeHashChanged-建议被认为是?效的,因为代码在?标合同地址已经改变。
根据?quorumMet?我们能知道发proposal=83执行失败是因为传?值a=?0
根据?balanceOf?()我们能查询到?Governance合约?Audio?token的余额
To代表AudioToken数量;
From代表Governance合约余额数量;
proposal85的作?是将Governance合约?的余额转移到攻击合约中:
将Governance合约?和治理代币的地址都设置为攻击合约的地址,对应的initialize()在下?截图中:
接下来,通过代理合约将DelegateManager合约中的serviceProviderAddress设置为攻击合约地址
caller是DelegateManager?
input合约地址是攻击合约的地址serviceProviderAddress()
细节在下图中:
然后,通过Governance合约授权代币10000000000000000000000000000000
给攻击合约
"_targetSP":"0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569"
为攻击合约地址
通过上述步骤,攻击合约获得了最?权限
0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
攻击?员进?了投票交易proposal_id?=85,?vote?=2
在0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9这个交易中,通过proposal_id=85的审核同时进?了AudioToken的转账,转账到攻击合约
最后?个交易:
0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
将18,564,497AudioToken
换成?704?Ether?Token
总结
在这个攻击中,问题是出现在对于modifier?initializer()的使?。
通过代理合约,可以多次调?初始化函数,但是原理上应该只能调??次?不是多次。虽然Audius团队对代码进?了多次审计,但是逻辑上的漏洞通过机器扫描往往很难发现。建议请专业的智能合约审计团队进?多轮的逻辑审计,以后可以避免此类事件的发?。
来源:金色财经
标签:PRONCEANCNANMirrored ProShares VIXDefi.financelanc币历史走势Solyard Finance
区块链生态系统是指组成区块链网络的不同部分以及它们如何交互。所有这些都在区块链中发挥作用,并且是其运作方式的一部分。尽管区块链网络有相似之处,但每一个都是独一无二的。区块链生态系统的元素可能会有所不同.
1900/1/1 0:00:00最近Aptos、Sui的新热潮带火了Move相关的生态概念。我们团队从事Move相关的工作一年多,算是全球最经验最多、踩坑最多的开发者团队之一,借此分享一下对Move的看法与理解.
1900/1/1 0:00:00加密世界已经被DAO的快速崛起所点燃,实际上,去中心化自治组织(DAO)是利用基于区块链的治理实现个人的全球协调,从而实现资源的优化配置以及社区的全球化运行.
1900/1/1 0:00:00揭秘Web3世界中的俚语:HODL、WAGMI、NGMI、GM等等。 1.常见的加密俚语 在加密世界中,使用加密俚语是再正常不过的事情,但是对刚接触该行业或者接触不深的人来说,在所难免会对这些奇形怪状的词产生很多疑惑.
1900/1/1 0:00:00比特币一直在22,500美元和23,500美元之间来回波动,空头在今天的交易时段加大了他们的努力。比特币鲸鱼的抛售压力增加了加密货币.
1900/1/1 0:00:0000:00-08:00 关键词:TheSandbox、加密货币借贷平台VoyagerDigital、硬件钱包制造商LedgerEnterprises、DeBridgeFinance、Solana钱包SlopeWallet、矿企BITM.
1900/1/1 0:00:00