比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > ICP > Info

CER:CertiK:DeFi項目Walletreum內部操作攻擊事件分析

Author:

Time:1900/1/1 0:00:00

馬克思曾在資本論中引用一句名言:“如果有10%的利潤,它就保證到處被使用;有20%的利潤,它就活躍起來;有50%的利潤,它就鋌而走險;為了100%的利潤,它就敢踐踏一切人間法律;有300%的利潤,它就敢犯任何罪行,甚至絞首的危險。”對于區塊鏈來說,去中心化是一切的本質,更是區塊鏈世界和生態的標桿。無論是什么形式的去中心化,它的本質實際上指的都是權力從頂層中心化機構到基層個體的下沉。這個下沉趨勢隨著世界的發展不斷的惠及每一個個體。區塊鏈所言的“去中心化”同樣是隨著經濟和科技發展,迎合社會發展本質上的一類。鑄幣權便是其中之一。這里的鑄幣權指的是將其下放至專業及安全的團隊或個體手中,通過健康的社區治理,達到實現區塊鏈領域愿景的目的。然而如同早年間的鑄幣行為在傳統金融中屢禁不絕,區塊鏈領域內的惡意鑄幣行為也是無休無止。一個項目其違背去中心化的本質,通過擁有者的極大權限進行惡意鑄幣,不僅僅損害了項目的良勢發展,更是損害了每一位投資者與項目支持者的切身利益。

CertiK:Push Protocol項目Discord服務器已被入侵:金色財經消息,據CertiK監測,Push Protocol項目Discord服務器已被入侵,有黑客發布釣魚鏈接。在團隊確認已重獲對服務器的控制之前,請勿點擊任何鏈接。[2023/5/30 11:47:40]

北京時間11月16日,CertiK安全研究團隊發現DeFi項目Walletreum被項目團隊通過內部操作,惡意鑄造5億個WALT代幣。截止11月16日早5時,惡意鑄造的代幣量已約合近190萬人民幣。CertiK安全研究團隊通過分析其智能合約代碼,發現其智能合約代碼中心化風險極高,存在安全隱患,項目擁有者擁有權限向任意地址鑄造任意數目的代幣。完整技術分析如下:攻擊詳情分析

CertiK:Project Shojira項目Discord服務器遭到攻擊:金色財經報道,據CertiK監測,Project Shojira項目Discord服務器遭到攻擊。請社區用戶不要點擊鏈接,鑄造或批準任何交易。[2022/10/22 16:35:31]

項目擁有者地址:0xa5e552e3d643cc89f3b1ceccfd6f42c5c1aee775

圖一:內部操作攻擊交易信息圖一是Walletreum項目中WALTToken智能合約被內部操作,鑄造額外5億個WALT代幣的交易信息。該交易哈希值為0xc0f3b0576f18a714d78b822754489d4201c9e36fb0ce4b2f53a93217564710e5。CertiK天網系統(Skynet)檢測到區塊1126401出現異常交易信息后,立刻向CertiK安全研究團隊發出警示。CertiK安全研究團隊在對該項目智能合約進行快速分析后,認為該項目為當前一典型的由于智能合約高中心化而導致的攻擊。

區塊鏈安全公司CertiK發布去中心化安全預言機:區塊鏈安全公司CertiK(CTK)發布基于CertiK鏈的去中心化安全預言機,旨在有效減少鏈上交易與實時安全檢測之間的距離,致力于運用去中心化的方法來解決安全難點。CertiK安全預言機可以應用于任何支持智能合約功能的區塊鏈平臺(如以太坊)。CertiK鏈在其業務區塊鏈上部署了安全預言機的公共入口,以接收來自DeFi應用程序的安全查詢,為即將進行的交易提供信息。用戶可以輕松訪問安全預言機、查詢即將進行的交易,并獲得實時的安全情報。另外,CertiK提出的解決方案都將使用CertiK鏈上的原生代幣CTK來維護預言機網絡的正常運轉。[2020/9/8]

DeBank工作人員:Balancer再次遭到閃電貸攻擊:金色財經報道,DeBank轉發其工作人員的推文稱,黑客再次利用dYdX的閃電貸進行攻擊,并將多個Balancer礦池中無人認領的COMP抽走,在此過程中獲利10.8ETH。[2020/6/30]

圖二:WALTToken智能合約mint()函數圖二為遭受內部操作攻擊智能合約中被惡意調用的函數mint()。從666行的代碼實現中可以看出,任何擁有minter權限、可以通過onlyMinter修飾符限制的外部調用者均可以調用該函數。該函數的作用是通過667行代碼向任意賬戶鑄造任意數目的代幣。通過圖三中619行onlyMinter修飾符的邏輯實現,以及615行構造函數中給與智能合約部署者minter權限的邏輯實現,智能合約部署者擁有了可以執行圖二中mint函數的權限。

圖三:onlyMinter修飾符以及給與項目管理者minter權限的構造函數

圖四:項目擁有者擁有minter權限查詢項目擁有者是否擁有minter權限的結果如圖四所示。至此,項目擁有者擁有執行mint函數的權利,最終惡意鑄造了5億個WALT代幣,致使項目投資者遭受損失。安全建議

CertiK安全團隊通過研究認為,目前大多數DeFi項目中均存在類似于Walletreum項目的風險。該類mint函數以及minter權限的實現表明了當前DeFi項目中項目擁有者權限過大,中心化風險較高。這會導致內部操作等情況的發生完全依賴于項目擁有者個人或者團隊的“個人素質”與選擇。CertiK團隊此前分析過同樣存在中心化風險的Mercurity.finance項目,而類似此次Walletreum項目被內部操作攻擊的情況以后想必也依舊會發生。在此,CertiK團隊發出建議:如要防范此類內部操作,應當注重提高社區治理的程度,并在項目實現上盡可能降低中心化權限,對任意重要操作均需要通過社區投票或者運用Timelock延時限制機制。

Tags:CERcertikTIKERTcertik幣價TIKI價格AmberTime Coin

ICP
比特幣:比特幣礦工收入恢復到減半前水平,或推動比特幣價格創歷史新高

編者按:本文來自Cointelegraph中文,作者:MARTINYOUNG,Odaily星球日報經授權轉載。根據最新研究,比特幣挖礦收入等關鍵鏈上指標已恢復到減半前的水平.

1900/1/1 0:00:00
BTC:眼看比特幣即將突破上輪大牛市前高,但你手里還剩幾個?

編者按:本文來自白話區塊鏈,Odaily星球日報經授權轉載。歷史不會簡單的重復,但卻總是驚人的相似。我們圈子有幾個非常有意思的現象,如果你列舉出來,你會發現真的很奇怪.

1900/1/1 0:00:00
ETH:分片到極致分片?ETH2.0信標鏈和波卡中繼鏈有何區別?

編者按:本文來自WebX實驗室Daily,Odaily星球日報經授權轉載。2020年的區塊鏈行業風起云涌,DeFi的泡沫之夏,分布式存儲項目的全面鋪開,幾大公鏈巨頭集中爆發,熱潮退燒之后,下半年.

1900/1/1 0:00:00
FIL:Filecoin挖礦必備戰略能力:集群架構與運維能力

編者按:本文來自IPFS原力區,作者:招寶,星球日報經授權發布。目前Filecoin挖礦以集群為主流形式,越大型的集群越需要較強的運維能力.

1900/1/1 0:00:00
區塊鏈:中心化中繼網絡是適合Layer0的解決方案嗎?

編者按:本文來自MarlinProtocol,Odaily星球日報經授權轉載。概述本文描述了使用單個中心化中繼網絡進行Layer0擴展的局限性-中繼網絡本質上成為信任的焦點,支持雙重花費、51%.

1900/1/1 0:00:00
比特幣:三句話推測幣價走勢:借鑒任澤平的房地產理論

曾經恒大集團高薪聘請方正證券首席經濟學家任澤平的新聞引爆網絡,網上翻開老圖片,時隔三年,依然感受到打工人和打工人之間的差距.

1900/1/1 0:00:00
ads