買比特幣 買比特幣
Ctrl+D 買比特幣
ads

MINT:Paid Network 1.6 億美元鑄幣疑云,慢霧拆解攻擊細節_MINTYS幣

Author:

Time:1900/1/1 0:00:00

原文標題:《鑄幣疑云——?PaidNetwork?被盜細節分析》

撰文:慢霧安全團隊

據消息,以太坊DApp項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

Animoca Brands:將與Yuga Labs合作開發LOTM游戲:4月5日消息,香港Web3游戲開發商及投資機構Animoca Brands在社交媒體宣布將與Yuga Labs合作開發Otherside的2D策略游戲Legends of the Mara(LOTM),未來還將推出更多以Yuga Labs為中心的游戲。[2023/4/5 13:46:18]

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

美國財長耶倫:監管機構正在制定政策來解決硅谷銀行事件:金色財經報道,美國財長耶倫稱,任何銀行倒閉都構成“明顯的擔憂”,美國銀行體系安全,資本充足,有韌性。監管機構正在制定政策來解決硅谷銀行事件。努力“及時”解決當前問題,但目前無法提供更多細節。要確保一家銀行的問題不會傳染給其他銀行。不過耶倫表示,當然不會重復過去對銀行的救助。科技行業的問題不是硅谷銀行倒閉的“核心”。美國聯邦存款保險公司正在考慮一系列針對硅谷銀行的選項,包括收購。監管機構意識到了這一點,正努力滿足硅谷銀行儲戶的需求。[2023/3/12 12:58:50]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

紐約聯儲:11月對未來一年的通脹預期降幅創歷史最大:金色財經報道,紐約聯儲稱,最新調查結果顯示,11月對未來一年的通脹預期將從10月的5.9%降至5.2%,降幅創歷史最大。11月三年期通脹預期下降0.1個百分點,至3.00%。11月5年期通脹預期從2.4%降至2.3%。[2022/12/13 21:40:03]

但是,事實真是如此嗎?

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約為開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:THEINTMINMINTwisdomisthewealthofthewiseMyPoints E-CommerceMinebaseMINTYS幣

以太坊價格今日行情
SPA:陸百川3.7以太坊午間行情分析及操作策略_PAR

總之歲月漫長,然而值得等待,如果需要一樣東西,就不要等別人施舍,而是自己去爭取,萬物皆有裂痕,那是光進來的地方,也許過去的一年,你曾被震蕩的行情消磨,愿新的一年,遇上期許已久的單邊.

1900/1/1 0:00:00
ZKS:3/6 ETH行情分析和操作建議_zksync幣空投比例

不求做的最好,但求做的更好。冰凍三尺,非一日之寒。智者千慮,必有一失;遇者千慮,必有一得。上有天,下有地,中間站著你自己,做人事,聽天命.

1900/1/1 0:00:00
加密貨幣:歷史拐點:Pinetwork錢包測試讓我聞到了Money的味道_加密貨幣交易違法嗎

Onepi在金色財經更新的第81篇文章。本文由派帝社區首發原創,轉載請署名或備注原創,作者OnePi.

1900/1/1 0:00:00
BIT:3.6晚間行情:恐慌就有反彈 區間震蕩合約吃大肉_怎么挖usdt幣

文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別防上當.

1900/1/1 0:00:00
BLO:3.7比特幣單邊即將出現 以太坊凌晨爆發是否繼續延續_比特幣

文/公眾號/傲天玩幣 寄語------- 市場無是情的,臨盤要時實做出改變;于蕩震中收獲,在端極中避險才在能市場實現長利久潤。加貨密幣,行情瞬萬息變;要保自持己的理性.

1900/1/1 0:00:00
TIM:程博說幣:3-6 以太坊完美布局 斬獲96個點位 方法只要對 翻倍只在時間上_PLC Ultima

看得遠才能走的遠,格局決定結局,跳出市場看走勢。作為當局者或交易者,我們不但要看清或把握好當下,更重要的?是洞悉市場把握脈搏引領未來!這個市場里向來都是先知先覺者吃肉,后知后覺者喝湯,不知不覺者.

1900/1/1 0:00:00
ads