買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > DOT > Info

INT:鑄幣疑云:Paid Network被盜細節分析_MINT

Author:

Time:1900/1/1 0:00:00

消息顯示,以太坊?DApp?項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000?ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

報告:新加坡是第九大加密貨幣欺詐目標市場:金色財經報道,《聯合早報》中文版12月16日報道,數據顯示,新加坡是第九大加密貨幣欺詐目標市場,自2011年以來共發生四次黑客攻擊和漏洞,損失高達1460萬美元(約1969萬新元)。加密貨幣新聞網站CoinJournal整理自2011年以來的加密違規和欺詐數據顯示,美國、英國和韓國是最常遭遇加密欺詐的三個目標市場。

美國自2011年以來,發生了13起黑客攻擊和入侵事件。英國共發生11起,其中損失最大的一次是在2017年11月,當時因合約漏洞問題,一名用戶價值1億5500萬美元的以太幣(ETH)被鎖定。韓國共發生八起,不過韓國自2019年11月以來未再遭遇黑客攻擊。

另外,犯罪分子通常利用去中心化金融(DeFi)平臺中的安全漏洞來竊取加密貨幣。這一類型的攻擊自2011年起共發生167次,損失近400萬美元,僅2022年就發生了80起DeFi漏洞攻擊事件。[2022/12/19 21:53:57]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

尼日利亞為推動CBDC的普及將現金提取限制在每天45美元:金色財經報道,尼日利亞中央銀行限制了現金提現,以推動消費者使用包括其其中央銀行數字貨幣(CBDC)eNaira在內的替代貨幣。尼日利亞中央銀行(CBN)在周二發布的致銀行和其他金融機構的信中,對個人場外提款實行了新的限制,每周僅為10萬奈拉(225美元),企業為50萬奈拉(1123美元)。每天從ATM機取出現金的上限為2萬奈拉(45美元),ATM機只能提供200奈拉(0.45美元)及更小面額的紙幣。在某些情況下,客戶仍可以提取更多金額,但必須支付5%至10%的手續費。

據悉,eNaira于去年10月推出,但只有不到0.5%的尼日利亞人在使用它。[2022/12/7 21:28:43]

但是,事實真是如此嗎?

Arthur Hayes:最后的下跌即將到來:11月10日消息,BitMex創始人Arthur Hayes發布博文探討FTX事件以及其對市場的的影響,文中回顧的了2008年金融危機后標普的走勢,雖然標普在次年3月才完成了歷史探底,但Arthur認為由于加密行業沒有“直升機撒錢”式的救助,泡沫將以最快速度釋放,最后的下跌即將到來。

同時,Arthur指出,FTX不是第一個,但也不會是最后一個暴雷的交易平臺。(Medium)[2022/11/10 12:42:28]

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:MINTETHMININTMINTItogetherbnb能推倒幾個gemini郭家毅星座幣虎cointiger下載

DOT
Radix:打破不可能三角 Radix為DeFi打造全新Layer1平臺_PUNDIX價格

實現全球可拓展性,同時保持安全性、去中心化,一直以來困擾著區塊鏈業內開發者的“不可能三角”終于在Radix橫空出世之后被攻克.

1900/1/1 0:00:00
SBF:3.6黃金白銀下周還會漲嗎最新走勢分析及操作建議附多單解套_wanchain

  下周黃金行情分析:      黃金周五延續下跌收低,最高反彈1707附近承壓橫向整理,日線收盤一根中陰線,日線配合小陽線修正之扣接著兩連陰,震蕩中慢性下跌的走法,雖然節奏上有的放緩.

1900/1/1 0:00:00
OSMO:非農利空對比特幣有什么影響?3.5比特幣區間震蕩如何牛轉乾坤_osmosis幣想要實現什么

  非農對比特幣有什么影響?非農對以太坊有什么影響?非農對DOT、LTC、ZKS有什么影響?比特幣在哪里買?比特幣還會漲嗎?現在買比特幣還可以賺錢嗎?怎么操作比特幣才能獲利?大家晚上好.

1900/1/1 0:00:00
ETA:百融云創迭代升級反欺詐技術 提升保險服務質效_MetaGameSpace

保險公司業務的實質在于將未來可能發生的風險損失進行轉移,這就決定了保險公司從誕生之初就與風險并存,高風險是其行業特色.

1900/1/1 0:00:00
比特幣:日益火爆的NFT市場可以為以太坊帶來什么?_國內最好的區塊鏈公司

?機構投資者在涌向比特幣市場,為過去一年比特幣的價格上漲提供了支持。事實上在很多人眼中看來,正是這股機構涌入的浪潮讓比特幣開始牛市運行,并創下了歷史高點.

1900/1/1 0:00:00
ANC:3.05比特幣晚間簡評_ALA

行情觀點: 小時級別來看,大餅早間插針探底46300一線反彈走出二連陽,隨后短線回踩觸底獲得支撐后再次走出二連陽,隨后插針向上試探遇阻47543.89一線回調.

1900/1/1 0:00:00
ads