区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 波场 > 正文

CERT:CertiK:PAID Network攻击事件还原_CERT立方根

作者:

时间:

2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。CertiK团队第一时间和PAID?Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。?PAID事件时间线

2021年3月5日,PAID遭受了持续约30分钟的攻击。通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。第三步:攻击者销毁了6000万枚PAID,留出铸币空间。第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。总结

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。攻击者之后销毁了6000万枚PAID代币,留出铸币空间。最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:https://certik.org/projects/paidnetwor

标签:PAIAIDPAIDCERTSENPAI价格aidoge币未来价值PAID币CERT立方根

波场热门资讯
PLE:项目周刊 | 以太坊EIP-1559正式被纳入伦敦硬分叉_PPL

金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是其中的项目周刊,带您一览本周主流项目以及明星项目的进展.

HTT:关于IPFS&filecoin挖矿,新手最关心的6个问答_比特币

1IPFS&filecoin的价格趋势,以及矿工可以获取的收益FIL币主网上线时间是2020年10月15日,截止2021年3月1日FIL币单价约为35美元/枚.

LSWAP:门格尔:论货币的起源_JULD

编者按:本文来自?以太坊爱好者,作者:CarlMenger,翻译&校对:闵敏&?阿剑,Odaily星球日报经授权转载.

ZB积分:中币(ZB)关于2021年第一季度ZB积分召回信息披露_CCD

尊敬的中币用户: ???2021年第一季度ZB积分召回已完成,中币通过交易手续费及其他方式共召回2204.3226万枚ZB,所召回的ZB积分将在两个工作日内销毁.

DIGI:关于部分现货交易对维护升级的公告_Charged Finance

亲爱的用户: 为了提供更好的现货交易体验,DigiFinex于2021年3月6日10:00(GMT8)对ENJ/USDT、CAKE/USDT、DODO/USDT及XVS/USDT现货交易对进行维.

FIN:NA(Nirvana)Chain公链连接百万亿美元体量的大数据价值创造_web3.0币种怎么提现

引言:NAChain公链将场景的权利下放,加上各种创新技术加持,必然导致人们创造场景的积极性增高,产出的价值也会呈指数型增长。互联网的到来,给人们的生活带来了惊人变化.