北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Qredo完成1600万美元私募融资,Coinbase、LD Capital等参投:据官方消息,去中心化数字资产基础设施和技术提供商Qredo宣布完成1600万美元私募融资,参投机构包括Nexo、Coinbase、Figment、Ledger Prime、LD Capital、Signum Capital、Accomplice,以及天使投资人Meltem Demirors(Coinshares的CSO)和Miles Parry(Genesis Global Trading的托管负责人)。
此前5月初消息,Qredo宣布完成种子轮融资,总额近1100万美元,G1、Gumi Cryptos、Maven 11、Spartan Group、1kx和Kenetic资本领投。[2021/6/29 0:15:02]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
BTC突破17600美元关口 日内涨幅为1.64%:火币全球站数据显示,BTC短线上涨,突破17600美元关口,现报17600.89美元,日内涨幅达到1.64%,行情波动较大,请做好风险控制。[2020/11/18 21:07:09]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
行情 | BTC跌破8600美元:火币全球站数据显示,BTC跌破8600美元,日内跌幅超过1%,现报8595美元。行情波动较大,请做好风险控制。[2020/1/15]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
动态 | ICP将在以太坊区块链代币化价值6600万美元的房产:据coindesk报道,Inveniam Capital Partners(ICP)周二宣布,计划将约2.6亿美元的四笔私人房地产和债务交易代币化。该公司打算首先出售位于佛罗里达州迈阿密市中心的一座建筑的代币化股份,价值6550万美元,可能是迄今为止以这种方式融资的最大一块房地产。上个月,该公司已在该建筑物上存放了未指定数量的比特币存款。一旦其他三笔交易最终确定,该公司将在未来几周拍卖由以太坊区块链上的ERC-20代币代表的资产份额。据悉,这些房产的股份将通过所谓的荷兰式拍卖出售,这意味着潜在投资者出价时将列出他们想要购买的股份数量,他们想要支付的每股价格以及他们想要支付的加密货币种类。[2019/2/27]
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
DeFi数据 1.DeFi代币总市值:420.58亿美元DeFi总市值数据来源:coingecko2.过去24小时去中心化交易所的交易量40.
金色晨讯 | 李启威考虑在莱特币使用MimbleWimble协议 QuadrigaCX交易所已获得债权人保护:1.李启威考虑在莱特币使用MimbleWimble协议.
自成立以来,Cardano就非常重视其开发游戏。与其他顶级项目相比,它在最近的大多数情况下都能保持领先一步。6月,该网络超越竞争对手,跃居榜首.
最近在Arbitrum上推出了一个很有趣的借贷协议,名叫RadiantCapital。如今,它的TVL正在向着2亿美元进发。这篇文章我将为你们介绍一下这个借贷协议.
一旦机制设计挑战到位,投资DAO将能够大规模利用集体智慧。即使这种集体智慧的潜力仅部分实现,向风险投资行业转型的程度和速度也将令人惊讶.
世界上的各种组织因为DAO的兴起而开始发生转变。原文标题:《DAO重塑世界的15种方式》 撰文:Aragon 编译:redhat 除非你曾试图驾驭金融监管、设立工资单或建立慈善机构,否则很难理解.
区块见闻