在11月2日上線后僅幾個小時,Axion Network代幣AXN的價格暴跌了100%。這次價格暴跌披露了其存在的漏洞,下文是CertiK安全審計團隊針對此事件的完整分析。
2020年11月2日北京時間晚上七時左右?,黑客利用Axion Staking合約的unstake函數設法鑄造了約800億個AXN代幣。
黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣,重復此過程,直到Uniswap中ETH-AXN交易對的以太幣所被耗盡,同時AXN代幣價格降至0。
在攻擊發生后的幾分鐘內,CertiK安全審計團隊獲知了該攻擊事件,并即刻展開了調查。
CertiK安全審計團隊認為該攻擊極大可能是內部操作造成的,該內部操作通過在部署代碼時,對項目依賴的OpenZeppelin依賴項注入惡意代碼。
百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]
被惡意利用的智能合約函數不屬于CertiK審核的范圍內。
在將Axion項目代碼和OpenZeppelin依賴代碼結合并進行部署時,該惡意代碼隨著OpenZeppelin依賴代碼被注入到部署的項目中。
黑客在發動攻擊時使用的是前一天從tornado.cash?中獲取的匿名資金?,說明這是一次有預謀的攻擊。
可能是以防攻擊失敗而節省一些資金,黑客賬戶在收到資金后,立即通過tornado.cash轉出了2.1個以太幣。
首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。
據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]
作為本次攻擊的準備工作的最后一步,黑客從Uniswap交易所購買了大約70萬個HEX2T代幣?。然而,這些資金最終沒有參與到攻擊中,而是為掩護攻擊行為而放出的煙霧彈。
在北京時間下午四時?,黑客先以數量為 0 和持續抵押時間為 1 天為參數調用stake函數,在Axion Network的抵押合同中創建“空”抵押。
首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。
?
《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]
這為黑客創建了一個Session條目,其會話ID為6,數量為0,股價為0。
金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報,截止北京時間6月13日15:50,EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬,占比2.96%;EOS佳能的得票總數為877萬,占比2.87%。此前異軍突起的EOSflytomars暫居第17位,得票總數為630萬,占比2.07%。目前躋身前30名的超級節點競選團隊中,有八個團隊來自中國。[2018/6/13]
此后,黑客預料到攻擊將會成功,因此向Uniswap交易所預先授權了無限制的AXN。
隨后,他們批準了Axion的NativeSwap合約,以獲取即將轉換為AXN代幣的資金額。
黑客在大約北京時間下午五時?調用了NativeSwap合約的deposit函數,然而黑客并未調用該合約的withdraw函數來獲取其交換得到的AXN,這在NativeSwap合約的swapTokenBalanceOf函數清晰可見。
IMEOS首發 EOS Go公布新增兩條復選條件 :據金色財經合作伙伴IMEOS報道:今日,EOS Go在 steemit上公布新增的兩條復選條件為:
1. 保證安全的計劃:候選節點是否在steemit上發布文章介紹該節點的安全方法和計劃,“安全方法”標準是向EOS選民展示安全最佳實踐知識和組織實施計劃的機會;
2. 立場:描述該節點分享通脹獎勵和/或向EOS代幣持有人派發股息的立場(候選節點在steemit發布)。主要闡述以下兩個問題:
該組織是否會出于任何原因向EOS令牌選民提供支付,包括BP選舉和社區建議?
該組織是否有書面的無票付款政策?如果是這樣,請提供一個鏈接。[2018/4/27]
隨后,他們在執行攻擊前又調用了一次deposit函數,但是這次調用執行最終失敗。
以上提到的交易僅僅是黑客為了掩護真正unstake攻擊的煙霧彈。
由于黑客進行的交易未更改sessionDataOf映射,因此可以得出結論,這是一次多地址攻擊。
為了找到可能導致sessionDataOf映射受到影響的原因,CertiK安全審計團隊在GitHub代碼存儲庫中審查了項目方與CertiK共享的合約源代碼。
經過仔細驗證,團隊無法在stake函數之外檢測到對其或其成員的任何修改操作,這使得我們懷疑該項目智能合約是否被正確的部署。
在分析了已部署的Staking合約源代碼之后,CertiK安全審計團隊在Staking合約的已部署的源代碼?第665-671行發現了一處代碼注入,該代碼注入發生在被修改的OpenZeppelin庫中的AccessControl智能合約 。
鏈接中的checkRole函數不屬于OpenZeppelin v3.0.1的實現,而OpenZeppelin v3.0.1?在項目的GitHub代碼存儲庫中被列為依賴項。
在checkRole函數中,存在以下 assembly模塊:
此函數允許特定地址通過底層調用根據其傳入的參數對合約進行任意寫入。帶注釋的assembly 模塊如下所示:
此函數是在合約部署時添加的,因為OpenZeppelin的AccessControl的實現中并不存在此函數,這意味著參與部署代幣的Axion Network成員從中作梗。
此次攻擊涉及到的代碼,是在合約部署前被人為故意添加進去的。
此次事件與CertiK完成的審計毫無關聯,對這次攻擊所負責的人應是參與了Axion Network合約部署的相關人員。
在此CertiK也特別強調,為了保證審計報告的有效性,和對項目安全的保障,審計報告應包括已部署的智能合約地址。地址所指向的合約的代碼應是和被審計過的源代碼相同的。因此,請大家切勿因為看到項目“已審計”就不做任何背景調查而盲目跟進。
CertiK安全預言機,作為一個鏈上可實時交互進行安全檢測的工具,可以有效確保并驗證已部署的智能合約匹配已被審計的版本。
它可以從去中心化的安全運營商網絡中檢索一組安全評分,獲得安全可靠的網絡評估源代碼,所有人都可以通過使用預言機來驗證合約安全性。
在基于區塊鏈的生態系統中,提高安全性就必須將傳統審計與鏈上安全性分析相結合。CertiK安全預言機將有效減少鏈上交易與實時安全檢測之間的距離,致力于運用去中心化的方法來解決安全難點。
參考鏈接:
?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4
?https://tornado.cash/
?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced
?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14
?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878
?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875
?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e
?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so
昨日晚間,湖南民生網刊發了《湖南省區塊鏈發展總體規劃(2020—2025年)》,據查閱,此《規劃》是由湖南省人民政府在2020年10月27日發布.
1900/1/1 0:00:00中新網客戶端北京10月27日電(記者 李金磊)10月26日,“市場上已出現假冒數字人民幣錢包”沖上了微博熱搜第一名.
1900/1/1 0:00:00中本聰發布白皮書以來,比特幣無論是作為數字貨幣還是支付系統,它的去中心化金融方式都讓人看到了許多可能性.
1900/1/1 0:00:00上圖為BTC 2010-2020年這10年周期的長期周線走勢,目前BTC已經完成了三次獎勵減半,我們從圖中可以發現,每一輪減半周期時間內.
1900/1/1 0:00:00深圳市政府近期聯合中國人民銀行開展了數字人民幣紅包試點。市民開立銀行“個人數字錢包”后,可領取數字人民幣紅包200元.
1900/1/1 0:00:00金色財經行情播報 | BTC 日內沖高橫盤,整數關口多空持續觀望:據火幣行情顯示,BTC早間快速拉升,多方嘗試突破12,000USDT整數關口.
1900/1/1 0:00:00