北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①?攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
比特幣礦企 CleanSpark 5 月產出 609 枚 BTC:金色財經報道,比特幣礦企 CleanSpark 發布 5 月未經審計的比特幣挖礦與運營更新。其中,5 月比特幣產量為 609 枚,2023 年比特幣產量為 3004 枚,截止 5 月 31 日 BTC 總持有量為 451 枚,5 月出售 471 枚 BTC 用于運營與增長。目前,CleanSpark 已部署 67,196 臺最新一代的比特幣礦機,該礦機的算力為 6.7 EH/s。[2023/6/2 11:55:10]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
BNB Chain將于3月6日贊助創新黑客松,將分為去中心化存儲系統等類別:2月18日,據官方消息,BNB Chain宣布將于3月6日在沙特阿拉伯利雅得舉行的Web3 Delight會議期間贊助了一場創新黑客松(Innovation Hackathon)。
據悉,此次創新黑客松的類別分為去中心化存儲系統、Web3聲譽、去中心化社會、實時數據索引、安全錢包、Web3 Streaming、Web3中的最佳路由等。[2023/2/18 12:15:08]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
鏈游DeFi Kingdoms的Serendale已在Klaytn上運行,將采用新的實用代幣JADE:金色財經報道,鏈游DeFi Kingdoms改造后的 Serendale 正式在專注于元宇宙的區塊鏈網絡 Klaytn 上線。一種新的實用代幣 JADE 將通過原生 DEX 鑄造,并用于 Serendale 中所有與游戲相關的功能。據DappRadar數據,自昨天上線以來,基于 Klaytn 的游戲部分已被超過 4,200 個獨特的錢包訪問。?
此前8月,DeFi Kingdoms宣布將脫離Harmoney加入Klaytn,并在Klaytn網絡上推出其名為Serendale的游戲部分,Crystalvale 仍留在DFK 鏈上。(The Block)[2022/12/9 21:34:21]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
公鏈Sui Network推出其測試網:金色財經報道,由前Meta(前身Facebook)工程師創建的Layer One區塊鏈宣布開放測試網,該團隊表示,測試網Wave1專注于運營商,特別是驗證者和運營全節點的參與者,在Wave1中,Sui的目標是改進去中心化協調和事件響應,并確定一組具有部署、監控和調試經驗的核心運營者。此外,與Devnet不同,在測試網中,事件管理將由社區驅動,而不是Mysten Labs驅動,這將使社區成員能夠為維護Sui的健康提供更多投入并承擔更大責任。
此前報道,9月份,Sui Blockchain背后公司Mysten Labs在由FTX Ventures領投的一輪融資中籌集了3億美元,這輪融資對Mysten Labs的估值為20億美元。[2022/11/18 13:19:29]
②?攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①?修改了邏輯合約的存儲結構:
②?限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
來源:金色財經
加密貨幣和波動性齊頭并進——比特幣自2021年11月創下歷史新高以來已經崩盤,隨后引發了對其消亡的猜測。然而,比特幣對死亡并不陌生,在過去十年中已經面對它數百次.
1900/1/1 0:00:00組織架構 主辦單位 南京信息工程大學 江蘇省人工智能學會 中國移動通信聯合會元宇宙產業委員會 承辦單位 南京信息工程大學人工智能學院 新大陸科技集團 中國電建集團中電建公司 協辦單位 浙江計算機.
1900/1/1 0:00:007月31日消息,由西班牙著名藝術家SeanSmith與歐洲知名CrewStudios工作室聯合發行的X-MASK神秘面具NFT,已于近日完成NFT上鏈.
1900/1/1 0:00:00自今年4月以來,在經歷了UST脫錨,所引發的頭部投資機構、獨角獸CeFi平臺的相繼“破產”,加密行業迎來了前所未有的發展危機,一方面在于市場信心不足甚至恐慌,導致的資金加速出逃.
1900/1/1 0:00:00整體會分為公鏈,Defi(Dex,借貸,穩定幣,合成資產等),NFT,Gamfi,存儲幾個板塊,所以分開發,一天說一個板塊.
1900/1/1 0:00:00最近,Aave宣布推出他們的新穩定幣GHO,CryptoTwitter和Aave包持有者很高興,因為他們采取了當時可用的最明顯的戰略舉措.
1900/1/1 0:00:00