北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
CertiK与阿里云达成合作伙伴关系,将区块链安全引入云平台:金色财经报道,区块链安全机构CertiK与阿里云宣布签署合作伙伴关系,为基于云的Web3项目提供区块链安全服务。Web3开发人员现在可以使用CertiK的端到端安全解决方案和阿里云可扩展、高效且安全的基础设施来加速他们的开发过程并保护他们的应用程序和智能合约。[2023/5/15 15:04:24]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
CertiK:攻击者于一个地址铸造了1.5亿个SHELL代币:金色财经报道,据CertiK安全团队监测,北京时间2022年6月11日12:30 ,SHELL代币价格下跌超过56%。攻击者于一个地址铸造了1.5亿个代币,随后将其转移并在12次交易中将其售出。目前约有价值18万美元的代币已被提取,其余资金仍在以下地址:0x5ba8c3f55edc13c641d8612cd37ca89dc4e2cfb2[2022/6/13 4:21:38]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
CertiK:Diaos项目发生Rug Pull:金色财经报道,北京时间5月11日凌晨2点,CertiK安全团队发现Diaos项目价格暴跌,其代币所有者利用mint()函数向所有者地址铸造了100万枚Diaos代币。该所有者将所有100万枚代币发送到了另一个账户(地址为0xC265191e1F5fC5a95F8E1d58f366c4b05011A6EE),随后该账户立即开始向其他地址分发代币并通过Pancake Swap出售代币。经多方验证,该项目属于Rug Pull跑路项目,CertiK在此提醒大家甄别风险,谨慎投资![2022/5/11 3:05:45]
去中心化交易所Balancer通过BAL流动性挖矿治理提案:Balancer协议于北京时间今日凌晨通过社区治理投票,再次修改其流动性挖矿奖金分配方案。Balancer以治理BAL为奖励为流动性提供者每周发放奖励。在新通过的提案中,每周14.5万的BAL奖金(约合350万美金)中将会有4.5万(约合108万美金)分发给BAL其它代币交易对的流动性提供者。该提案被认为更偏向于以BAL为基础的流动性池。[2020/8/25]
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
加密钱包是Web3的银行账户。协议、交易所、DAO和其他地方的所有活动最终都必须在一天结束后找到安全停止的地方,并且使用钱包基础设施提供的加密货币.
1900/1/1 0:00:00本周概览-美国通货膨胀率创下40年来新高,CPI上涨9.1%,大盘指数拒绝下跌,之后市场将如何反应?-StarkWare将释放代币通证.
1900/1/1 0:00:00Tether(USDT)周六获得中性评级:是时候加入了吗?价格水平过去5天,Tether的交易价格一直在中点附近.
1900/1/1 0:00:00据官方消息,Travala.com现已新增去中心化超抵押稳定币USDD作为支付方式,用户可通过USDD支付旅游订单.
1900/1/1 0:00:00现今是2022年,元治理活动正迅速成为加密货币生态系统的主流;各个DAO也已经意识到,它们可以通过利用其他DAO的技术和资源,达到超强的增长和价值创造的最佳战略.
1900/1/1 0:00:00一起看看最近热度较高的Arbitrum奥德赛分两期讲讲,这篇主要将Arbitrum的潜力见解,至于空投怎么搞出来,第二期文章内有讲解往下看.
1900/1/1 0:00:00
月亮链