BTC/HKD+2.54%
ETH/HKD+0.34%
LTC/HKD+4.07%
DOT/HKD-3.99%
ADA/HKD-6.23%
SOL/HKD+1.59%
XRP/HKD-0.06%
DOGE/US-1.83%北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析?
整個攻擊流程如下:
①?攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息
CertiK:EOA地址0x35fEf將400枚BNB轉至Tornado Cash:金色財經報道,據CertiK官方推特發布消息稱,EOA地址(0x35fEf)將400枚BNB(約9.97萬美元)轉至Tornado Cash,該筆資金來自6月19日被大量出售的IPO代幣。[2023/6/21 21:51:44]
②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約
Balancer生態收益治理平臺Aura Finance將于6月9日開啟LBP和上線:金色財經消息,SushiSwap聯合創始人0xMaki將要推出的Balancer生態收益治理平臺Aura Finance發推稱,將于6月10日2:00進行為期5天的LBP,同時Aura合約和網站也將上線。在前兩周,AURA總供應量的2%將分配給auraBAL質押者(包括選擇鎖定空投的用戶)。Aura Finance將在6月16日開啟aura BAL存款和加速流動性激勵,同時開始向Balancer、Convex Finance和lobsterdao社區發放空投,不想鎖定AURA的用戶將需要為其空投認領支付30%的罰款,這些空投罰款將在協議啟動一個月后累積并自動分配給vlAURA持有者。6月23日,vlAURA持有者將能夠投票決定Aura的veBAL投票權應投向何處。[2022/6/5 4:02:59]
圖3:攻擊者利用所持地址之一建立惡意代幣實現合約
CertiK基金會宣布Kylin Network護盾池已開放:3月3日消息,CertiK基金會發推稱,Kylin Network保護池已開放,CTK持有者和Kylin Network社區成員可以購買護盾(Shield),以獲得額外的數字資產保護。[2021/3/3 18:11:23]
③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣
④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法
圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣
⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD
智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。
北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金.
1900/1/1 0:00:00DNADEX已有超過1個月的公測時間。我們的參與賬戶超過800個,交易超過200萬筆。我們很高興地宣布DNADEX即將于3月15日正式上線!DNA去中心化交易所(DEX)是一個在DNA區塊鏈上運.
1900/1/1 0:00:00DeFi?DecentralizedFinance?直譯過來是“去中心化金融”,實際是指,建立在區塊鏈網絡上的各類去中心化協議,用來構建一套具有透明度、可訪問性和包容性的開放式金融系統.
1900/1/1 0:00:00?在幣圈,想通過交易賺錢。就這3個方法:1通過學習,讓自己成為強者2借用強者的力量,把資金交給他賺錢方式,讓強者全權操作3使用交易軟件,不渴求短時間的盈利!只為長期持續穩定的復利朋友們,當你看到.
1900/1/1 0:00:00投資不是投機,風險不是冒險,你對自己負責了嗎?對自己的資金負責了嗎?不論在任何市場作為投資者,要學會對自己的資金負責.
1900/1/1 0:00:00尊敬的HCoin用戶: 大宗未釋放份額兌換HCoin平臺合約分紅股權,第三十八期分紅已經發放完畢.
1900/1/1 0:00:00
買比特幣
