本文来自BlockSec,Odaily星球日报经授权转载。8月12日,根据DAOMaker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。BlockSec团队经过分析后发现,该事件的起因是私钥泄露或者内部人士所为。攻击过程
根据我们的交易分析系统我们发现,攻击的过程非常简单。攻击交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者钱包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻击者合约;0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者。
加密初创公司Blockchain.com聘请沃尔玛首席独立董事加入董事会:1月24日消息,加密初创公司Blockchain.com已聘请沃尔玛首席独立董事Tom Horton加入其董事会。据悉,Horton是通用电气公司的董事会成员,曾是美国航空集团的董事长,也是华平投资有限公司的高级顾问,这家私募股权公司的总裁是美国前财政部长Timothy Geithner。Tom Horton在接受采访时说:“金融服务和货币领域正在发生巨大的转变,成为其中的一部分是非常令人兴奋的。”
Blockchain.com首席执行官Peter Smith表示,公司在计划进行首次公开募股之前一直在加强其董事会,而这可能会在“近期到中期”发生。(彭博社)[2022/1/24 9:10:03]
Block.one旗下加密交易所Bullish宣布获得直布罗陀金融服务委员会的监管许可:11月10日消息,官方消息,Block.one旗下加密货币交易所Bullish宣布,其子公司 Bullish (GI) Limited 已获得直布罗陀金融服务委员会 (GFSC) 颁发的分布式账本技术 (DLT) 许可证。Bullish此前宣布打算通过与特殊目的收购公司Far Peak Acquisition Corporation(纽约证券交易所代码:FPAC)的业务合并上市。根据各种批准和条件,合并预计将于2021年第四季度或2022年第一季度完成。[2021/11/10 6:43:35]
攻击者XXX调用受害者钱包合约的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
加密对冲基金BlockTower推出新市场中性基金:金色财经报道,据熟悉公司运营的消息人士称,此前被加密对冲基金BlockTower收购的Gamma Point现已完全整合到BlockTower中。一位消息人士称,该公司于周四正式推出了与Gamma Point合作的新基金,该基金现在将开始将资金部署到市场中性策略中,这意味着他们不会对给定的代币进行定向多头或空头押注。该人士补充说,还有很多基金希望将加密货币纳入其现有的市场中性策略。据悉,Gamma Point采用独特的市场中性投资策略,在牛市和熊市中寻求利润。[2021/7/2 0:21:08]
声音 | 何一:“S block”和我没有任何关系:币安联合创始人何一刚刚在微博表示:“S block”和我没有任何关系,我也没参加什么泰国大会;居然还有冒充赵长鹏的,这样的居然也有人相信?[2019/6/17]
0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?继续追踪,我们发现它的admin权限是由另外一笔交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。
总结一下,整个的流程是:
那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。其他
另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。
但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?最后
最近区块链安全接连出现大的安全事件,包括PopsicleFinance双花攻击分析和PolyNetwork攻击关键步骤深度解析,损失在几百万美金到数亿美金之间。项目方如何提高安全意识,保护好代码安全和资产安全,正是BlockSec团队希望和社区一起能解决的问题。只有把安全做好,DeFi的生态才能更健康有序发展。
头条成都6人利用“GUCS”“麒麟矿机”虚拟货币实施犯罪被刑拘8月18日晚,成都发布消息:近日.
1900/1/1 0:00:00最近,区块链分析平台推出了一个NFTMarketOverview功能,可以帮助用户通过巨鲸行为找到一些最近启动的优质NFT项目,效果很好.
1900/1/1 0:00:00TingResearchDao出品TingResearchDao由一群对NFT和metaverse充满探索兴趣也具备工程能力的研究者组成.
1900/1/1 0:00:00最近几个月,新的NFT项目激增,围绕高价销售的宣传也在增加。当投资者重新评估他们的NFT论题时,投资组合中是否应该包含猿猴这样的NFT?选对了NFTs对投资成功至关重要,本问将研究猿猴是否值得投.
1900/1/1 0:00:00文章作者:DavidHoffman,Bankless的联合创始人文章翻译:Blockunicorn 随着NFT狂热的能量增长,围绕“元宇宙”的对话也在增长.
1900/1/1 0:00:00GameFi持续火爆,新老玩家正加速涌入。据DappRadar统计,链游玩家数量在9月6日超过66万,近半年增幅超1120%。 近半年链游玩家数量统计与此同时,越来越多的资金正流入这一赛道.
1900/1/1 0:00:00