区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > SAND > 正文

RAM:铸币疑云 —— Paid Network 被盗细节分析_SSE

作者:

时间:

据消息,以太坊DApp项目PaidNetwork遭受攻击。攻击者通过合约漏洞铸造近1.6亿美元的PAID代币,并获利2000ETH(约300万美元)。慢雾安全团队在第一时间跟进并分析,现在将细节分析给大家参考。

攻击细节分析

以上是整个攻击过程的调用流程细节。

可以看到整个攻击过程非常的简单,攻击者通过调用代理合约中函数签名为(0x40c10f19)的这个函数,然后就结束了整个攻击流程。由于这个函数签名未知,我们需要查阅这个函数签名对应的函数是什么。

通过查阅这个函数签名,我们发现这个签名对应的正是mint函数。也就是说,攻击者直接调用了mint函数后就结束了攻击过程。那么到这里,我们似乎可以得出一个mint函数未鉴权导致任意铸币的漏洞了。通过Etherscan的代币转移过程分析,似乎也能佐证这个猜想。

港股收盘:火币科技收涨1.79% 欧科云链收涨2.78%:今日港股收盘,恒生指数报25057.22点,收涨1.13%;欧科集团旗下欧科云链(01499.HK)报0.185点,收涨2.78%,火币科技(01611.HK)报3.42点,收涨1.79%。[2020/6/9]

但是,事实真是如此吗?

为了验证未鉴权任意铸币的这个想法,我们需要分析合约的具体逻辑。由于PaidNetwork使用的是合约可升级模型,所以我们要分析具体的逻辑合约(0xb8...9c7)。但是在Etherscan上查询的时候,我们竟然发现该逻辑合约没有开源。

港股收盘:欧科云链收收跌2.56%,火币科技收跌4.03%:金色财经报道,今日港股收盘,恒生指数收盘上涨137.30点,涨幅0.58%,报23934.77点,欧科集团旗下欧科云链(01499.HK)报0.190点,收跌2.56%,火币科技(01611.HK)报2.86点,收跌4.03%,雄岸科技(01647.HK)报0.260点,收跌5.45%。[2020/5/18]

这个时候,为了一探究竟,我们只能使用反编译对合约的逻辑进行解码了。通过Etherscan自带的反编译工具,可以直接对未开源合约进行反编译。在反编译后,我们却发现了一个惊人的事实:

通过反编译,我们不难发现,合约的mint函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。那么为什么一个存在鉴权的函数会被盗呢?由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。我们分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用mint函数进行任意铸币。

总结

本次攻击过程虽然简单,但是经过细节分析后却有了惊人的发现。同时这次的攻击也再次对权限过大问题敲响了警钟。如果这次的mint函数给到的鉴权是一个多签名地址或是使用其他方法分散权限,那么此次攻击就不会发生。

参考链接:

攻击交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

标签:RAMSSEDIGIMINTgram币行情AssetFunDigital Financial ExchangePlayerMint

SAND热门资讯
SWAP:火币科技资管子公司获批香港首家主动投资策略虚拟基金_COXSWAP

火币科技控股有限公司发布公告,称其全资资产管理附属公司火币资产管理有限公司获香港证券及期货事务监察委员会批准申请.

USDT:3.4午间行情:资金获利了结 进入震荡时间_怎么挖usdt币

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

USD:首发 | 牛市里的小币投资基本纲要_USDT

本文由加密乌托邦原创,授权金色财经首发。虽然近期行情波动剧烈,可是人们的心中倾向于认为还在牛市,并且牛市还会继续持续数月之久.

MAR:从“Coinbase 效应”到“灰度效应” 灰度投资首期“考察名单”有何特点?_CHA

从“Coinbase效应”到“灰度效应”灰度投资首期“考察名单”有何特点?区块律动BlockBeats 刚刚 13 近日,灰度投资宣布考虑新增AAVE、UNI等23个币种的加密货币投资产品.

BIT:NFTs 将如何带来巨大的改变?_ANC

NFTs,也就是非同质化代币是当前基于代币、数字资产的创新之一,已经吸引了媒体和科技界的注意力。NFTs是区块链上独一无二的数字资产。它们可以是艺术、数字收藏品、甚至是现实世界物品的代表.

ITA:区块链周报 | 一周发生32起投融资事件,加密市场融资热潮持续_goldhoefinance

摘要:韩国监管机构称新加密法规或威胁用户数据安全;内蒙古整顿虚拟货币挖矿项目,以确保完成能耗目标;EIP-1559正式被纳入伦敦硬分叉;美国加密税务公司TaxBit完成1亿美元融资据PANews.