区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 世界币 > 正文

TSD:CertiK:不借助漏洞的攻击?True Seigniorage Dollar攻击事件分析_THING价格

作者:

时间:

北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件,总损失高达约1.66万美金。此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。技术分析

整个攻击流程如下:①攻击者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通过低价收购大量TrueSeigniorageDollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。

Deribit上的ETH永久期货未平仓合约达到1个月低点:金色财经报道,据Glassnode数据,ETH永久期货合约的未平仓合约在Deribit上刚刚达到1个月低点,数值为256,614,617美元。[2022/9/17 7:02:25]

图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息②在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。恶意代币实现合约地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb

Solana Ignition Hackathon亚洲赛区41个项目获得超24万美元资助:10月31日,Solana Ignition Hackathon@Asia在DoraHacks开发者激励平台HackerLink结束报名和投票,来自亚洲各地区的41个团队项目共收获超过24万美元资助,其中10万美元来自于由Solana Foundation,Serum和Slope资助的二次方投票奖金池,14万美元来自于社区资助。同时,来自亚洲赛区的StepN与Banksea也在全球赛区中获得了奖项。

黑客松结束后,HackerLink将开启反女巫攻击(sybil-attack)闭源检查的宽限期,并在宽限期结束后公布亚洲赛区最终排名结果。[2021/11/1 21:13:30]

数据:过去1个月比特币Hodler持仓数量减少超两万枚BTC:据Glassnode数据显示,近一个月,跟踪比特币长期投资者每月头寸变化的指标“比特币Hodler净头寸变化值”由正转负,为今年3月份以来首次出现负值,长期投资者的比特币持仓数量减少超两万个比特币,创2019年8月以来最大跌幅。

注:该指标旨在追踪比特币Hodler的每月头寸变化,负值代表Hodler在抛售比特币,正值代表在积累比特币。[2020/11/4 11:38:10]

图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约

Polygon在Nothing Phone智能手机中启用 Web3 功能:7月6日消息,Polygon已与科技初创公司Nothing达成合作,将Polygon的技术整合到该公司智能手机Nothing Phone(1)中,为基于Android的Nothing Phone(1)注入轻松访问Polygon平台上的应用程序、游戏、以及Polygon ID。

此外,双方还将推出一个NFT会员俱乐部,为众筹Nothing发布的人以及预购Nothing Phone(1)的人提供基于Polygon区块链的NFT系列Nothing's Black Dot NFT。(Decrypt)[2022/7/6 1:53:30]

图3:攻击者利用所持地址之一建立恶意代币实现合约③当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币④同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。

图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法

图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币⑤当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。

图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD总结

此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。CertiK安全技术团队建议:从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。

标签:TSD比特币INGTHINGRATSDAO比特币最高的时候是多少钱一枚什么时候CrownSterlingTHING价格

世界币热门资讯
TPS:本月热门IDO第二弹,10个新项目参与指南_VeriDocGlobal

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 上周,Odaily星球日报盘点了3月热门的IDO项目名单,市场反响热烈,读者对如何参与IDO更是兴致盎然。很快,本月的第二份IDO名单也来了.

SUPE:HashKey研报:一文了解NFT全生态_区块链

编者按:本文来自HashKeyMe,作者:HashKeyCapitalResearch肖琪凡,星球日报经授权发布.

EFI:主要受其他市场影响拖累价格,比特币自身利好重重_flow币会下架吗

今天隔壁A股又是一个暴跌,原本早上一度高开高走超过1%,但收盘后反而还跌了超过2%,创业板更是跌了5%,港股方面恒生科技更是一度下跌超过7%,应该是比币圈更惨淡了.

ING:因拍卖比特币错失超“十亿”美元,法国会步美国和澳大利亚的后尘吗?_THING

继上周佳士得以近7000万美元的天价拍卖数字艺术家Beeple的NFT作品《每一天》成交后,一则法国政府拍卖比特币的消息再度引发了公众的热议.

比特币:1个半月投资8个加密项目,疯狂的a16z欲加码NFT市场_ACK

编者按:本文来自巴比特资讯,作者:Apatheticco,星球日报经授权发布。据TheBlock援引相关人士消息,知名加密风投基金a16z正在参与NFT交易市场OpenSea的新一轮融资,该轮募.

SEA:“312”一周年,这一年大家有盈利吗?_Sensible Finance[OLD]

去年3月12日全球金融市场大崩溃,使得“312”这个日期变成名词,在币圈中更是直接成为和“94”一样具有纪念意义的日期,而今天迎来了这个日子的一周年.