北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
比特币全网未确认交易数量为1816笔:金色财经报道,BTC.com数据显示,目前比特币全网未确认交易数量为1816笔,全网算力为309.66 EH/s,24小时交易速率为3.45交易/s,目前全网难度为39.16 T,预测下次难度上调11.26%至43.56 T,距离调整还剩1天4小时。[2023/2/24 12:26:02]
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
彭博社:加密货币总市值从2021年11月的高位蒸发了约2万亿美元:金色财经报道,据彭博社消息,市值最大的比特币暴跌60%以上,引领数字资产的暴跌,加密货币总市值从2021年11月的高位蒸发了约2万亿美元。[2023/1/2 22:20:43]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
MM3 NFT以2500万美元估值完成200万美元初始轮融资:10月12日消息,MM3 NFT宣布以2500万美元估值完成200万美元初始轮融资,Tess Venture、Polygon Foundation、Web3.com Ventures、LD Capital等机构参投。MM3 NFT将依照路线图,进一步向增加元宇宙和虚拟偶像方向拓展。[2022/10/12 10:32:45]
加密市场总市值回升至1.1万亿美元上方:金色财经报道,最近数据显示加密市场总市值已升至1.1万亿美元,本文撰写时为1,101,462,228,888美元,24小时涨幅4.6%。[2022/7/20 2:25:07]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
V神抨击比特币开发者攻击PoS共识机制:7月4日消息,以太坊创始 Vitalik Buterin站出来为权益证明(PoS) 机制辩护,因别人指控该协议没有提供去中心化共识。对PoS的攻击是由比特币开发人员Jimmy Song发起的,他指出该协议没有解决拜占庭将军的问题。
在7月3日的一条推文中,Butrerin抨击Song指出他对PoS的攻击是“愚蠢的”,因为由于定义,他是基于技术性的。(finbold)[2022/7/5 1:50:39]
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
区块链会一直存在,随着新颖的工具、应用程序和社区的创建,人们会更容易地进入区块链。原文标题:《工作:在区块链上找工作的完整指南》撰文:Chel_Koby编译:ChinaDeFi当人们听到区块链技.
1900/1/1 0:00:00可替代代币(NFT)在2021年和2022年期间成为头条新闻,??BoredApeYachtClub和CryptoPunks等顶级收藏品售价数百万,加密域名也进入现场.
1900/1/1 0:00:00周报概要:1、上周NFT市场成交量大幅上升,较上周增长约33.9%;其中X2Y2周成交额持续位居榜首,份额占比47.7%.
1900/1/1 0:00:00昨天在文章中分析到根据斐波那契数列值来看,ETH这波反弹1620这里一定会遇到压力再次回调,因此给出的思路是价格反弹1580-1620区间去介入空单,昨天价格最高反弹至1620.87.
1900/1/1 0:00:00北京时间7月22日,19:00,由Okaleido生态所推出的OkaleidoTiger首发上线BinanceNFT,本次发售数量为1000枚,且在30分钟内迅速售罄.
1900/1/1 0:00:00在2021年的虚拟货币的价格涨幅中,大部分的货币都是处在牛市中,狗狗币的价格一直没有大幅度波动。表现低迷是由于柴犬币获得大众的认可,这导致狗狗币的价格在慢慢下滑.
1900/1/1 0:00:00
月亮链