BTC/HKD-0.13%
HK$ 494898
$ 63070.9

ETH/HKD+0.23%
HK$ 20125
$ 2564.75

LTC/HKD+0.15%
HK$ 510.74
$ 65.09

DOT/HKD-0.29%
HK$ 33.73
$ 4.298

ADA/HKD+0.07%
HK$ 2.79
$ 0.355

SOL/HKD-0.08%
HK$ 1160.2
$ 147.852

XRP/HKD+0.05%
HK$ 4.55
$ 0.58

DOGE/US+0.18%
HK$ 0.82
$ 0.105

比特幣交易所最好的比特幣交易所

幣安

世界排名第一的比特幣交易所

URL：https://www.binance.com

火幣

成立於2013年的比特幣交易所

URL：https://www.huobi.com

歐易OKX

成立於2014年的比特幣交易所

URL：https://www.okx.com

INT:鑄幣疑云：Paid Network被盜細節分析_MINT

Author：

Time：1900/1/1 0:00:00

消息顯示，以太坊?DApp?項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣，并獲利2000?ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析，現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單，攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數，然后就結束了整個攻擊流程。由于這個函數簽名未知，我們需要查閱這個函數簽名對應的函數是什么。

報告：新加坡是第九大加密貨幣欺詐目標市場:金色財經報道，《聯合早報》中文版12月16日報道，數據顯示，新加坡是第九大加密貨幣欺詐目標市場，自2011年以來共發生四次黑客攻擊和漏洞，損失高達1460萬美元（約1969萬新元）。加密貨幣新聞網站CoinJournal整理自2011年以來的加密違規和欺詐數據顯示，美國、英國和韓國是最常遭遇加密欺詐的三個目標市場。

美國自2011年以來，發生了13起黑客攻擊和入侵事件。英國共發生11起，其中損失最大的一次是在2017年11月，當時因合約漏洞問題，一名用戶價值1億5500萬美元的以太幣（ETH）被鎖定。韓國共發生八起，不過韓國自2019年11月以來未再遭遇黑客攻擊。

另外，犯罪分子通常利用去中心化金融（DeFi）平臺中的安全漏洞來竊取加密貨幣。這一類型的攻擊自2011年起共發生167次，損失近400萬美元，僅2022年就發生了80起DeFi漏洞攻擊事件。[2022/12/19 21:53:57]

通過查閱這個函數簽名，我們發現這個簽名對應的正是?mint?函數。也就是說，攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里，我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析，似乎也能佐證這個猜想。

尼日利亞為推動CBDC的普及將現金提取限制在每天45美元:金色財經報道，尼日利亞中央銀行限制了現金提現，以推動消費者使用包括其其中央銀行數字貨幣(CBDC)eNaira在內的替代貨幣。尼日利亞中央銀行(CBN)在周二發布的致銀行和其他金融機構的信中，對個人場外提款實行了新的限制，每周僅為10萬奈拉(225美元)，企業為50萬奈拉(1123美元)。每天從ATM機取出現金的上限為2萬奈拉(45美元)，ATM機只能提供200奈拉(0.45美元)及更小面額的紙幣。在某些情況下，客戶仍可以提取更多金額，但必須支付5%至10%的手續費。

據悉，eNaira于去年10月推出，但只有不到0.5%的尼日利亞人在使用它。[2022/12/7 21:28:43]

但是，事實真是如此嗎？

Arthur Hayes：最后的下跌即將到來:11月10日消息，BitMex創始人Arthur Hayes發布博文探討FTX事件以及其對市場的的影響，文中回顧的了2008年金融危機后標普的走勢，雖然標普在次年3月才完成了歷史探底，但Arthur認為由于加密行業沒有“直升機撒錢”式的救助，泡沫將以最快速度釋放，最后的下跌即將到來。

同時，Arthur指出，FTX不是第一個，但也不會是最后一個暴雷的交易平臺。（Medium）[2022/11/10 12:42:28]

為了驗證未鑒權任意鑄幣的這個想法，我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型，所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候，我們竟然發現該邏輯合約沒有開源。

這個時候，為了一探究竟，我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具，可以直接對未開源合約進行反編譯。在反編譯后，我們卻發現了一個驚人的事實：

通過反編譯，我們不難發現，合約的?mint?函數是存在鑒權的，而這個地址，正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢？由于合約未開源，無法查看更具體的邏輯，只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜，或者是其他原因，導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單，但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限，那么此次攻擊就不會發生。

參考鏈接：

攻擊交易：

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags：MINT ETH MIN INT MINTI togetherbnb能推倒幾個 gemini郭家毅星座幣虎cointiger下載