北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析?
整個攻擊流程如下:
①?攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息
friend.tech“賬號Keys:排行榜:平臺創始人Racer以2.91 ETH位列第一:8月24日消息,Dune數據顯示,截止目前friend.tech平臺用戶“賬號 Keys”價格排名前五:
平臺創始人Racer以2.91 ETH價格排名第一;
加密交易員 L 以2.15 ETH價格排名第二;
加密KOL Hsaka 以1.80 ETH價格排名第三;
加密KOL Cobie 以1.78 ETH價格暫列第四;
NDV聯創Christian2022.mid以1.65 ETH的價格排名第五。[2023/8/24 18:19:17]
②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約
CertiK:VpandaBank合約所有者提取代幣并兌出約87萬美元:金色財經消息,據CertiK官方推特發布消息,VpandaBank合約所有者0xea7ba...提取了代幣并兌出約87萬美元,VPANDA價格下滑了95%[2023/6/17 21:43:38]
圖3:攻擊者利用所持地址之一建立惡意代幣實現合約
③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣
Balancer已上線Gnosis Chain:3月20日消息,去中心化交易協議Balancer已上線以太坊側鏈Gnosis Chain。Balancer將為DAI/USDC/USDT、WETH/WBTC/ 穩定幣、GNO/WETH、GNO/ 穩定幣四個流動性池提供流動性激勵。[2023/3/21 13:15:45]
④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法
圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣
⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD
智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。
Tags:CERETHTSDUSDConcern Poverty ChainethicaljudgementFingerprintsDAOusd幣種圖片
據ZTGlobal官方公告稱,ZTB智能鏈官網已于2021年3月13日正式上線,。據悉,ZTB智能鏈全稱為Zenithsmartchain,是一個去中心化高效節能公鏈,是ZT交易平臺對DeFi發.
1900/1/1 0:00:00.new_summary,blockquote{position:relative;font-size:16px;letter-spacing:1px;line-height:28px;marg.
1900/1/1 0:00:00北京時間3月16日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報5025.53點,過去24小時下跌4.95%,成交額1497.77億美元,成交較前24小時增加22.61%.
1900/1/1 0:00:00Gate.io雙周報為您囊括平臺周期熱點,助您快速掌握平臺動態,狀態持續“在線”。本周期Gate.io隆重上線了雙幣寶理財,并推出多款BTC和ETH產品;智能量化策略中心上線一鍵復制跟單功能;多.
1900/1/1 0:00:00尊敬的LBank用戶: LBank藍貝殼將于2021年3月16日20:00(UTC8)上線USF(UnslashedFinance).
1900/1/1 0:00:00COINBIG數字資產平臺即將首發FFK,并開放FFK/USDT交易對,具體詳情如下:充幣時間:2021年3月08日15:00交易時間:2021年3月09日15:00提幣時間:2021年3月10.
1900/1/1 0:00:00