本文來自BlockSec,Odaily星球日報經授權轉載。8月12日,根據DAOMaker電報群用戶反饋,該項目疑似遭到黑客攻擊,價值700萬美元的USDC被黑客提取至未知地址。BlockSec團隊經過分析后發現,該事件的起因是私鑰泄露或者內部人士所為。攻擊過程
根據我們的交易分析系統我們發現,攻擊的過程非常簡單。攻擊交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者錢包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻擊者合約;0x0eba461d9829c4e464a68d4857350476cfb6f559:中間人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合約創建者。
Blockchain Capital正考慮新的加密中心:金色財經報道,加密風投Blockchain Capital的首席執行官表示,在美國當局的行業打擊下,正在權衡幾個流行的國際加密貨幣中心的好處。他補充說,雖然美國正在離岸外包區塊鏈技術創新,但英國、阿聯酋和香港等其他司法管轄區正在積極吸引美國企業家和區塊鏈資本等風險投資公司。加密貨幣是一個全球性的行業,是基于去中心化的概念,所以我們正在探索去中心化的金融和人力資本。
該投資公司目前管理著約20億美元的資產。[2023/5/23 15:21:22]
Riot Blockchain第一季度挖礦收入增長881%至2320萬美元:金色財經報道,在納斯達克上市的礦業公司Riot Blockchain報告稱,第一季度挖礦收入增長了881.1%,達到2,320萬美元。Riot Blockchain報告稱,截至3月31日的三個月期間,挖礦收入利潤率提高至67.5%,去年同期為40.4%。第一季度挖掘了491枚比特幣,比上一季度增長62.0%,2020年第四季度挖掘了303枚比特幣。[2021/5/19 22:17:01]
攻擊者XXX調用受害者錢包合約的函數查詢用戶余額,然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作,因此通常需要對調用者的身份做校驗。我們通過分析發現,攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。這里的問題就變成為什么攻擊者能具有相應的權限?通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
Blockstream CEO:只會選擇用比特幣來永久存儲財富:7月1日,針對有網友提問“如果必須選擇一種加密貨幣用來永久存儲財富,會選擇哪種加密貨幣?”,Blockstream首席執行官Adam Back回復稱,只會選擇一種加密貨幣,即比特幣。[2020/7/2]
0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限,那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢?繼續追蹤,我們發現它的admin權限是由另外一筆交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
聲音 | BM:Block.one將會在6月份公布未來的方向:據引力觀察消息,BM在電報群里表示:Block.one將會在6月份公布我們未來的方向。[2019/5/8]
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。然而我們發現,受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。
總結一下,整個的流程是:
那問題就來了,為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢?這里有兩個可能性。第一個0x054e是內鬼,第二個就是私鑰泄露。其他
另外一個有趣的點就是攻擊者的合約是開源的,代碼簡單易懂,可以作為學習合約開發的啟蒙教程。
但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用?最后
最近區塊鏈安全接連出現大的安全事件,包括PopsicleFinance雙花攻擊分析和PolyNetwork攻擊關鍵步驟深度解析,損失在幾百萬美金到數億美金之間。項目方如何提高安全意識,保護好代碼安全和資產安全,正是BlockSec團隊希望和社區一起能解決的問題。只有把安全做好,DeFi的生態才能更健康有序發展。
Tags:LOCBLOCKBLOCLOCKBLOC幣ekkoblockblockchain錢包安卓版blockchain什么意思中文翻譯
8月2日,OpenSea的聯合創始人兼首席執行官DevinFinzer發推稱,該平臺在兩天內處理了價值9500萬美元的交易.
1900/1/1 0:00:00我們的世界正在變得虛擬 互聯網技術推動了虛擬世界的發展,人類社會正在建立持久的虛擬關系,比如擁有和裝飾虛擬空間、在不同的虛擬生態系統中爭奪稀缺的虛擬資源.
1900/1/1 0:00:00長期以來,美國當局不愿過多讓自己參與進復雜的加密世界,監管力度算并不算大。但市場已經發展到不能再被忽視的階段,因此美國也在籌備為加密市場發布實質性的監管框架.
1900/1/1 0:00:00本文源自Bankless,以下為編譯部分:UniswapV3創造了一種在DeFi中提供流動性的新方法.
1900/1/1 0:00:00出品:LDCapitalResearch作者:JamesKuo,VPofLDCapital研究助理:NoiseZhou、yy、Betty、Lightmanben摘要摘要元宇宙源于互聯網.
1900/1/1 0:00:008月19日,總部位于日本的加密貨幣交易所Liquid熱錢包遭攻擊后,艾貝鏈動針對當前機構級熱錢包的幾種方案存在的安全風險做了分析.
1900/1/1 0:00:00