消息显示,以太坊?DApp?项目PaidNetwork遭受攻击。攻击者通过合约漏洞铸造近1.6亿美元的PAID代币,并获利2000?ETH(约300万美元)。慢雾安全团队在第一时间跟进并分析,现在将细节分析给大家参考。
攻击细节分析
以上是整个攻击过程的调用流程细节。
可以看到整个攻击过程非常的简单,攻击者通过调用代理合约中函数签名为(0x40c10f19)的这个函数,然后就结束了整个攻击流程。由于这个函数签名未知,我们需要查阅这个函数签名对应的函数是什么。
SushiSwap将集成Core,为其跨链功能提供DeFi服务:8月1日消息,SushiSwap将与不断发展的区块链协议Core集成,利用该协议独特的共识机制,为其跨链功能提供广泛的DeFi服务,基于该协议构建的去中心化应用程序可以访问SushiSwap的流动性池、跨链交换及其去中心化交易所(DEX)聚合器。SushiSwap与ArcherSwap、IceCreamSwap和OpenEx一起成为在Core网络上运行的主要DeFi协议。SushiSwap用户还将受益Core协议促进的进一步跨链功能。[2023/8/2 16:12:40]
通过查阅这个函数签名,我们发现这个签名对应的正是?mint?函数。也就是说,攻击者直接调用了?mint?函数后就结束了攻击过程。那么到这里,我们似乎可以得出一个?mint?函数未鉴权导致任意铸币的漏洞了。通过Etherscan的代币转移过程分析,似乎也能佐证这个猜想。
BitMEX创始人向币安转入价值194万美元LDO:金色财经报道,据推特用户余烬监测,BitMEX创始人Arthur Hayes向币安转入78.5万枚LDO,价值194万美元。Arthur Hayes在2022年8月从FTX提出了该部分LDO。[2023/3/13 13:01:12]
但是,事实真是如此吗?
为了验证未鉴权任意铸币的这个想法,我们需要分析合约的具体逻辑。由于PaidNetwork使用的是合约可升级模型,所以我们要分析具体的逻辑合约(0xb8...9c7)。但是在Etherscan上查询的时候,我们竟然发现该逻辑合约没有开源。
土耳其央行计划在2023年推出CBDC:10月26日消息,土耳其总统战略和预算局周一提交了2023年总统年度计划,其中包括对央行数字货币(CBDC)的讨论。
该计划的国际收支部分在“政策和措施”的子标题下指出,2023年“将实施基于区块链的央行数字货币”,负责机构是土耳其央行,与当地财政部和科技研究机构合作;数字土耳其里拉系统将与数字身份和FAST(土耳其央行运营的支付系统)集成;土耳其央行将与其他银行合作,开展CBDC的研发和测试工作。(CoinDesk)[2022/10/26 16:38:58]
这个时候,为了一探究竟,我们只能使用反编译对合约的逻辑进行解码了。通过Etherscan自带的反编译工具,可以直接对未开源合约进行反编译。在反编译后,我们却发现了一个惊人的事实:
通过反编译,我们不难发现,合约的?mint?函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。那么为什么一个存在鉴权的函数会被盗呢?由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。我们分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用?mint?函数进行任意铸币。
总结
本次攻击过程虽然简单,但是经过细节分析后却有了惊人的发现。同时这次的攻击也再次对权限过大问题敲响了警钟。如果这次的mint函数给到的鉴权是一个多签名地址或是使用其他方法分散权限,那么此次攻击就不会发生。
参考链接:
攻击交易:
https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0
晚间建议反弹保持看空思路不变,给出的操作建议1550-1560附近空单入场,目标1510-1500,止损1600,21:00以太插针探底至1512.79一线,抵达目标点位1510附近.
1900/1/1 0:00:00很高兴又来给大家分享波场环球最新好消息啦!我是宇航财经/wolf_8383聚义堂,专注于互联网金融.
1900/1/1 0:00:00ETH行情分析:小时图来看,布林通道向下缩口,MACD快慢线在零轴下方形成叉,多空能量柱空头小幅放量。KDJ三线向下散发.
1900/1/1 0:00:00抓不住的行情别纠缠,留不住的利润别在乎,忘不掉的回忆别较真,错了的方向别逗留,长大后,人们都会辜负小时候的梦想,未能活成那时想象中的人,反而活成了自己讨厌的样子,交易的过程就是自我的修炼.
1900/1/1 0:00:00币圈李梦:各位币友们,大家好,我是币圈李梦本着负责、诚恳、认真的态度用心写好每一篇分析文章,在交易中,最重要的就是要敢于出手,面对机会,果断出击,这样才不至于错失机会.
1900/1/1 0:00:00作者:Carol?一直以来,在A股市场中,“打新”都是获得高收益的重要手段之一。根据公开资料显示,2020年A股“打新”的户均利润约为38631元,收益率约为19.32%.
1900/1/1 0:00:00