区块见闻 区块见闻
Ctrl+D收藏区块见闻

certik:首发 | PAID Network攻击事件还原_certik币价

作者:

时间:

本文由Certik原创,授权金色财经首发。

2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。

因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

CertiK团队第一时间和PAID?Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。

LBank蓝贝壳于5月3日20:00首发 CSPR(Casper),开放USDT交易:据官方公告,5月3日20:00,LBank蓝贝壳上线 CSPR(Casper),开放USDT交易,同时并开放充值,资料显示,Casper网络是基于CasperCBC规范构建的第一个实时权益证明区块链。Casper旨在加速当今企业和开发人员对区块链技术的采用,同时确保随着网络参与者需求的发展,其在未来仍能保持高性能。[2021/5/3 21:19:51]

PAID事件时间线

2021年3月5日,PAID遭受了持续约30分钟的攻击。

LBank蓝贝壳于4月9日16:50首发 BOSON:据官方公告,4月9日16:50,LBank蓝贝壳首发BOSON(Boson Protocol),开放USDT交易,4月9日16:00开放充值,4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月9日16:50开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ,可按净充值量获得等值1%的BOSON的USDT空投奖励;交易赛将根据用户的BOSON交易量进行排名,前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/9 20:02:26]

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

IMEOS首发 BM表示EOS合约具有整数溢出保护:据金色财经合作媒体IMEOS报道:近日ETH出现多个ERC20智能合约的处理溢出错误,BM在推特上发表评论:新的ETH契约Bug可能会破坏整个Token的供应,让持有者留下无价值Token.这就算为什么代码不能成为法律,随即表示EOS erc合约不容易受到这种攻击。而EOS官方群也有人表示担忧EOS是否具有整数溢出保护?BM回应:有很多C ++模板类可以封装类型并检查溢出。[2018/4/25]

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。

第三步:攻击者销毁了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。

总结

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:

https://certik.org/projects/paidnetwork

标签:PAIAIDPAIDcertikPAINT价格AIDICoinsPaidcertik币价

币安app官方下载最新版热门资讯
NEX:算法稳定币TSD遇袭归零,DAO治理该「背锅」吗?_Nexus

作者:秦晓峰 来源:Odaily星球日报北京时间3月15日上午,算法稳定币TrueSeigniorageDollar官方发文表示,该项目受到黑客攻击,超发了118亿稳定币TSD.

COIN:比特币的估值:从摩根大通的加密资产入门报告说起_3X Long Altcoin Index Token

比特币的估值:从摩根大通的加密资产入门报告说起 尺度区块链 刚刚 22 “3月8日消息,据Coindesk报道,摩根大通已向其私人银行客户发送了一份加密货币入门报告.

比特币:金色观察丨NFT开辟出的新世界:“所有权经济”_加密货币

金色财经区块链3月12日讯?现在,我们每天都能在社交媒体上共享数十亿份图像、视频、歌曲和其他各种媒介.

AID:数据:中心化交易所比特币余额正在耗尽,过去4个月100亿美元比特币流出_PAID Network

比特币价格在过去两天内恢复了上涨势头,在本周二早上触及2021年3月的高点54822美元。早在2020年12月,人们注意到中心化交易所的比特币存量跌至三年低点,今年比特币的交易所余额继续暴跌.

VER:区块链可追溯平台Verofax完成120万美元种子轮融资_ERO

据Ledgerinsights3月11日报道,阿联酋区块链初创公司Verofax表示,其自动化和可追溯平台在种子轮中筹集了120万美元.

数字人:315关注 | “数字人民币”三大套路:理财、内测App、中签短信_数字货币

来源:移动支付网 作者:佘云峰 原标题:《315关注|“数字人民币”升级》移动支付网讯:近日,数字人民币试点活动相继在深圳、苏州、北京、成都等地展开,在当地用户踊跃报名参与之下.