北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Tether用美国国债储备取代商业票据:金色财经报道,稳定币发行商Tether已经从其储备中取消了300亿美元的商业票据,并在上个季度还将其对美国国债的直接敞口增加了超过100亿美元。
几个月来,Tether一直表示,它将通过减少其持有的商业票据数量来提高其储备的质量。[2022/10/14 14:26:49]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
动态 | Tether与加密数据分析公司Chainalysis合作,强化反工具:据CoinDesk报道,2月12日,稳定币项目Tether宣布与加密数据分析公司Chainalysis合作,以对其反工具进行强化。根据新闻稿,Tether将为代币发行人应用ChainAnalysis的“快速了解交易”工具,使稳定币公司能够监控活动,并迅速了解代币持有人的风险状况。[2020/2/12]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
金色晨讯 | Tether官网删除代币完全由美元支撑的说法 GateCoin交易所宣布停运并清算:1.CBOE暂停添加新比特币期货。
2.欧洲央行:比特币不是货币。
3.Bittrex取消了首个IEO销售。
4.Tether官网删除代币完全由美元支撑的说法。
5.美国CETC主席:区块链和加密货币是当今市场转型的两个关键。
6.比特币第四大巨鲸钱包地址开始拆分比特币 或在进行抛售。
7.工信部将支持利用区块链等技术推进物流业降本增效项目。
8.数字货币交易所GateCoin宣布停运并清算。
9.IBM发布了关于在区块链中抵制重播攻击的专利。[2019/3/15]
EOSeoul-EOSpay举行韩国最大EOS Block Producer Alliance研讨会:EOSeoul和EOSpay在本月26日在韩国首尔举行EOS BP Alliance研讨会。在此次研讨会中会有火币Pool,EOS Cannon,EOS Gravity,,EOS UNION,OracleChain,eos ONO等EOS BP候选单位个子发表EOS关联项目。[2018/5/21]
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
7月19日,BinanceNFT携手HALO在YouTube举办了主题为“NFTAllStars:3DAvatarintheMetaversewithHALO”的AMA活动.
5月30日,据区块链浏览器TRONSCAN数据,波场TRON账户总数达到95,247,210,正式突破9500万.
Tether:譴責近期有關其商業票據的虛假謠言6月15日消息,USDT母公司Tether表示,譴責有關其商業票據的虛假謠言,有傳言稱其商業票據組合中85%由中國或亞洲商業票據支持.
7月11日,ChainBroker发布“完全稀释市值为2亿-3亿美元的顶级项目”榜单,JUST高居第二! JUST平台自推出至今一直成绩斐然,位列行业翘楚.
2022年6月9日,波场TRON创始人孙宇晨正式宣布联合波场联合储备及多家知名投资机构收购全球知名加密货币交易所Poloniex,并同时启用“波场交易所”作为其华语社区品牌.
GameStop基于以太坊Layer2的NFT市场上线后,引发了极大的关注。这个曾经的美股“占领华尔街“事件的主角,如今靠NFT焕发第二春.
区块见闻