月亮链 月亮链
Ctrl+D收藏月亮链

PAI:首发 | PAID Network攻击事件还原_TIKI币

作者:

时间:1900/1/1 0:00:00

本文由Certik原创,授权金色财经首发。

2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。

因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

CertiK团队第一时间和PAID?Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。

首发 | 刘尧:百度区块链推出天链平台赋能链上业务:12月20日,由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲,他指出:2020年将是区块链企业落地的元年,为了支持中国区块链的产业落地,百度将区块链进行平台化战略升级,依托百度智能云推出天链平台,就是要赋能360行的链上业务创新落地。[2019/12/20]

PAID事件时间线

2021年3月5日,PAID遭受了持续约30分钟的攻击。

首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现,北京时间10月24日,17:07分发生了一笔18000枚BTC的转账,经分析,这实际上是交易所Bithumb的内部整理工作,将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常,对各种“面值”的UTXO进行整数级别的整理,属于交易所的规律性操作。[2019/10/24]

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

金色首发 EOS超级节点竞选投票率达6.49%:金色财经数据播报,截止北京时间6月13日15:50,EOS投票率达6.49%。EOS引力区和EOS佳能作为两个来自中国的超级节点竞选团队暂居第五和第六名。其中EOS引力区的得票总数为903万,占比2.96%;EOS佳能的得票总数为877万,占比2.87%。此前异军突起的EOSflytomars暂居第17位,得票总数为630万,占比2.07%。目前跻身前30名的超级节点竞选团队中,有八个团队来自中国。[2018/6/13]

第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。

第三步:攻击者销毁了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。

总结

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:

https://certik.org/projects/paidnetwork

标签:PAIPAIDAIDTIKPAINT币PAID价格aidoge币能去几个零TIKI币

以太坊最新价格热门资讯
COM:Compound“新武器”Gateway :重新定义COMP的价值_UND

前言小辣椒区块链与文中提到的企业、项目方没有利益关系。人是会犯错误的物种。小辣椒区块链不能100%保证所引用资料的真实性、分析的正确性,请根据自己的能力和认知参与市场.

1900/1/1 0:00:00
区块链:金色观察丨何时才能发挥整公链系统实用价值?_加密货币有哪几种类型

金色财经区块链3月3日讯?2021年刚开篇,加密货币行业就迎来了一个好消息:美国货币监理署代理署长布莱恩·布鲁克斯发布了一封解释信函.

1900/1/1 0:00:00
比特币:“牛市女皇”木头姐:耶伦不懂数字货币 比特币远比黄金更节能_BTC

“牛市女皇”CathieWood再次为比特币站台。在一段最新视频中,这位方舟投资创始人针对美国财长耶伦对比特币的最新批评做出回应,直指其根本不懂数字货币.

1900/1/1 0:00:00
数字资产:OKLink行业观察:哪些银行巨头正在布局数字资产?_区块链币币交易

“起风了,那乌家就破产吧”。近日,国产电视剧《赘婿》频频喜提热搜,男主宁毅利用“期货”、“做多”、“对冲”等现代金融思维,使得对手乌家资金链断掉,向男主宁毅低头,看得观众直呼过瘾.

1900/1/1 0:00:00
BTC:3.5午间行情:盘面摇摇欲坠 下行风险大_KEX价格

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

1900/1/1 0:00:00
DOT:一文了解波卡平行链插槽拍卖的全貌和隐藏的商业机会_cgtoken

背景2021年3月2日,波卡官方转推了PolkaBTC测试网正式启动的消息,这意味着用户可以测试1:1将比特币支持的资产铸造到Polkadot上.

1900/1/1 0:00:00