北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
Bloomberg Intelligence:比特币尚未真正走出困境:2月14日消息,Bloomberg Intelligence发布2023年2月《加密行业展望》。彭博分析师Mike McGlone在社交媒体发文,目前市场依然对加密货币等风险资产存在担忧情绪,投资者并不确定比特币等主要风险资产究竟是熊市反弹还是触底反弹,2月份比特币价格走势极具挑战性,最近已经开始从2.4万美元阻力位回落至21750美元支撑位,而且正在形成可怕的头肩形态,因此整体来看比特币尚未真正走出困境。[2023/2/14 12:06:31]
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
比特币矿企CleanSpark 7月出售426枚比特币:金色财经报道,比特币矿企CleanSpark披露,公司7月份售出426个BTC后产生了大约880万美元的收入,该公司预计将利用所得款项为其自身的增长和运营提供资金。CleanSpark宣布在6月至7月期间购买2,861台采矿设备,利用有利的市场条件获得更好的交易。
CleanSpark首席执行官Zach Bradford说:我们在这个市场上看到了前所未有的机会。(The Block)[2022/8/3 2:56:46]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
Azuki系列NFT近24小时交易额增幅超400%:金色财经消息,据OpenSea数据显示,Azuki系列NFT近24小时交易额为520.79ETH,24小时交易额增幅达444.23%。近24小时交易额排名位列OpenSea第一。[2022/7/30 2:46:58]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
Tether 披露Celsius的贷款清算流程:金色财经报道,Tether 从未也永远不会将其储备的完整性置于风险之中。这已经一次又一次地证明了这一点,不仅因为它有能力从不拒绝赎回,而且它的储备金绝对透明。
虽然Tether的投资组合确实包括对Celsius的投资,仅占其股东权益的最小部分,但这项投资与 Tether 自身的储备或稳定性之间没有相关性。Celsius提取的 Tether 贷款是一笔以 BTC 计价的超额抵押贷款(130%+),清算抵押品以支付贷款的决定是两家实体之间协议原始条款的一部分,并在在清算事件开始之前就有。这个过程的执行是为了尽可能减少对市场的任何影响,事实上,一旦贷款被偿还,Tether 按照协议将剩余部分退还给Celsius。Celsius头寸已被清算,Tether没有损失。[2022/7/8 2:01:01]
数据:BSV单日交易量超过2000万笔:4月26日消息,数据显示,BSV区块链网络单日交易量突破2000万笔的里程碑。就交易量层面,远超其他区块链网络。尽管游戏的交易量在目前BSV的交易量中占据主导地位,但社交媒体和金融应用程序的加入意味着BSV的生态系统比其他大多数区块链更加多样化。[2022/4/26 5:11:07]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
标签:ETHTHEHERETHEETH2SOCKS币togetherbnb怎么喝醉ethereum公链togetherbnb能睡几个
币圈咨询 7月25日热点; 1.证券日报:美联储加息窗口即将开启,大概率继续保持75个基点2.今日恐慌与贪婪指数为30.
1900/1/1 0:00:00在第二季度GDP负增长之后,美国现在正式陷入技术性衰退:-0.9%。让我们来看看最近的5次衰退,以及这一次可能会有何不同。衰退被定义为“贸易和工业活动减少的暂时经济衰退期,通常表现为连续两个季度GDP下降”.
1900/1/1 0:00:00本周热点回顾 LidoFinance?发布公告称将在Layer2上支持stETH,Lido将首先支持wstETH在Layer2上的跨链和质押;并计划未来直接支持在Layer2上质押以太坊跨链支付网络?cBridge?将原先0%的代币跨.
1900/1/1 0:00:00美国联邦储备委员会15日宣布,将联邦基金利率目标区间上调75个基点至1.5%-1.75%水平。这是美联储自1994年以来单次最大幅度的加息,显示出控制通货膨胀的紧迫性.
1900/1/1 0:00:00作者|Ignes 编译|白泽研究院 2022年的加密熊市来得突然,并且如火如荼。然而,大多数DeFi代币的状况甚至比BTC或ETH还要糟糕。至少自2020年10月以来,DeFi代币兑ETH的价格一直在下跌.
1900/1/1 0:00:00作为Oasis不断发展的网络架构的一部分,我们满怀激动心情的向大家宣布:继我们成功推出最初的EVMParaTime?Emerald之后,第一个与EVM兼容的隐私ParaTime「Sapphire」现已上线测试网.
1900/1/1 0:00:00
宇宙链