8月10日,去中心化年金協議?PunkProtocol遭到攻擊,損失890萬美元,后來團隊又找回了495萬美元。
SharkTeam第一時間對此事件進行了攻擊分析和技術分析,攻擊原因在于投資策略中找到了一個關鍵漏洞:CompoundModel代碼中缺少初始化函數的修飾符的問題,可以被重復初始化。希望后續的區塊鏈項目可以引以為戒,共筑區塊鏈行業的安全防線。
一、事件分析
黑客1的兩筆攻擊交易:
0x7604c7dd6e9bcdba8bac277f1f8e7c1e4c6bb57afd4ddf6a16f629e8495a0281
湖南:依法查處一批惡意炒作虛擬貨幣交易的違法違規網站和賬號:據湖南省網信系統消息,今年6月至7月圍繞網絡生態突出問題,加強屬地網站、賬號巡查力度,會同相關部門從嚴查處各類網上違法違規行為,其中幣看網等網站、賬號惡意炒作虛擬貨幣交易被依法關閉。[2021/8/6 1:37:47]
0xa76cd31bcd48869621e7f2698ac8754699026acd0655a6d33280224dabed4cfa
黑客2的兩筆攻擊交易
0x597d11c05563611cb4ad4ed4c57ca53bbe3b7d3fefc37d1ef0724ad58904742b
V神:遭受惡意攻擊絕不是DeFi的固有特征:The Defiant記者Camila Russo在Ethereal峰會上詢問V神稱,DeFi是否有其固有弱點,即它吸引黑客的傾向將反過來吸引監管機構,而這將不可避免地終止這項技術。對此V神回應稱:“完全不會。許多負責任的DeFi項目在很長一段時間內都沒有受到攻擊。這絕對不是DeFi本身的固有屬性,有一種方法可以負責任地做到這一點。”V神還指出了集中化實體被攻擊的規律性(有時是致命的),并引用了近年來針對集中式交易所的兩起最嚴重的攻擊,即2014年Mt.Gox以及2016年Bitfinex的被盜事件。Russo認為,許多DeFi和加密貨幣項目的開源性質可能是一個明顯的攻擊載體,因為公開這些項目的代碼可以使黑客更容易地了解其內部機制。V神承認這可能是一個問題,但是他也指出經過同行測試技術的好處,這些技術可以被任何有能力和意愿的人審核、審查以及作出貢獻。(Decrypt)[2020/5/8]
0x4c8072a57869a908688795356777270a77f56ae47d8f1d869be0d25e807e03b1
動態 | 卡巴斯基:新加密挖掘惡意軟件針對返校學生:安全軟件提供商卡巴斯基發現了一種加密挖掘惡意軟件,已經在多個上傳和下載盜版教科書的網站上扎根,專門針對剛剛回到學校的學生。該惡意軟件偽裝成可執行文件中的書或文章,允許黑客的命令和控制系統將其他惡意軟件(包括加密器和垃圾郵件傳送系統)發送到受感染的計算機上。卡巴斯基表示,今年有超過3萬名用戶試圖打開這些文件。[2019/9/6]
黑客2的攻擊合約地址:
0x00000000b2ff98680adaf8a3e382176bbfc34c8f
黑客2的地址:
0x3aa27ab297a3a753f79c5497569ba2dacc2bc35a
動態 | 電腦“挖礦”惡意程序數量暴漲85倍:科技日報消息,根據Adguard的數據統計,全球約有5億臺電腦曾被綁架“挖礦”。Symantec所發布的《2018互聯網安全威脅報告》指出,過去一年里,計算機端檢測到的“挖礦”惡意程序數量暴漲85倍。[2018/9/12]
0xe36cc0432619247ab12f1cdd19bb3e7a24a7f47c
黑客2退回的兩筆交易地址:
0xc977ea434d083ac52f9cad00417bcffb866b894a5cbabf1cc7af9c00e78b8198
0xa85ce7d9d0882b858bf3dbc8f64b72ff05f5399ec3d78d32cea82e6795ccc7ce
下面以黑客1正式攻擊交易為例
黑客的攻擊執行了delegateCall,將攻擊者的合約地址寫入到compoundModel中initialize函的forge_參數。setForge(address)函數在初始化函數中執行。這是一個修改Forge地址的功能。
然后,它執行withdrawToForge函數并將所有資金發送到攻擊者的合約。
隨后在調用initialize函數發現forge_參數已經被替換成攻擊者合約的地址。
鏈接到forge_的所有CompoundModel都使用相同的代碼,因此所有資產都轉移到攻擊者的合約中。目前,導致黑客入侵的代碼已被項目方修補。添加了兩個Modifiers,這樣只有ContractCreator可以調用Initialize函數并控制它只被調用一次。
二、安全建議
本次攻擊的根本原因在于CompoundModel合約中缺少對初始化函數的安全控制,可以被重復初始化。初始化函數應只能調用一次,而且需要進行調用者權限鑒別;如果合約是使用初始化函數,而不是在構造函數中進行初始化,則應使用安全合約庫中的初始化器來進行初始化。避免合約被惡意操縱,造成合約關鍵參數和邏輯的錯誤。
SharkTeam提醒您,在涉足區塊鏈項目時請提高警惕,選擇更穩定、更安全,且經過完備多輪審計的公鏈和項目,切不可將您的資產置于風險之中,淪為黑客的提款機。而作為項目方,智能合約安全關系用戶的財產安全,至關重要!區塊鏈項目開發者應與專業的安全審計公司合作,進行多輪審計,避免合約中的狀態和計算錯誤,為用戶的數字資產安全和項目本身安全提供保障。
據彭博社9月14日報道,數字貨幣促成的高速跨境轉賬恐令銀行損失6000億美元,因為現有的面向零售客戶的跨境支付又慢又貴.
1900/1/1 0:00:00橋水基金的創始人億萬富翁RayDalio重申了他看待比特幣的立場。在很長的時間里,Dalio對于比特幣都是持懷疑的,但是由于比特幣的特點和當前宏觀經濟的通脹前景,Dalio最終對Crypto表示.
1900/1/1 0:00:00采訪及撰文:潘致雄受訪者:OffchainLabs首席執行官StevenGoldfeder和創始團隊以太坊擴容網絡ArbitrumOne正式上線且對外公開測試后.
1900/1/1 0:00:00據智通財經9月21日報道,上周五,在美聯儲官員因持有和交易證券遭到強烈抗議之際,媒體對官員披露的財務情況進行了深入調查,發現有三位官員在去年持有的債券與美聯儲正在購買的資產類型相同.
1900/1/1 0:00:00據SportsGrindEntertainment9月14日報道,方舟資本創始人木頭姐CathieWood周一在天橋資本舉辦的SALT會議上稱比特幣有望在5年內突破50萬美元.
1900/1/1 0:00:00作者:BitcoinOptech上文我們講了《干貨|比特幣軟分叉激活史》,后續如下:BIP9versionbits:BIP68/112/113相對鎖定時間激活BIP9?提出了一種新的激活機制來解.
1900/1/1 0:00:00