北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
DFINITY宣布推出首届全球黑客松Supernova,总奖池最高达600万美元:3月30日,官方消息,DFINITY宣布推出首届全球黑客松Supernova,举办日期为5月10日至6月20日,为期六周,总奖池最高达600万美元,分为Web3;DeFi;NFT、GAMING & METAVERSE;Decentralized Social;Infrastructure;Social Impact六个类别。[2022/3/30 14:27:47]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
BTC突破15600美元关口 日内涨幅为3.49%:火币全球站数据显示,BTC短线上涨,突破15600美元关口,现报15603.7美元,日内涨幅达到3.49%,行情波动较大,请做好风险控制。[2020/11/6 11:49:49]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
全球新冠肺炎确诊病例突破3600万例:Worldometers实时统计数据显示,截至北京时间2020年10月8日00:54,全球累计新冠肺炎确诊病例超3600万例,达36,182,185例,累计死亡病例达1,056,787例。[2020/10/8]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
行情 | BTC突破3600美元:据Huobi数据显示,BTC持续上涨,现已突破3600美元,报价3610.24美元,行情波动较大,请做好风险控制。[2018/12/10]
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
比特币涨涨跌跌,不留意间就涨回23000多,一度涨到了24276,大有直接拉升的姿势。有人说小牛回来了,2022年下半年会有一个小高潮,但谁知道呢,市场上各种分析的声音都有,不知道哪个才是准确的.
随着美联储试图应对飙升的通货膨胀率,美国利率已恢复到大流行前的水平。?美联储加息0.75%对抗通胀美联储又将利率提高了75个基点。?美国中央银行在周三的联邦公开市场委员会上宣布了这一进展.
上方广告连接非本人社区------------------------------------------------------------------------7月25日比特币行情解析:比.
2022年稳定币的市值首次出现负增长,分析师预测,USDC?将在2022年10月取代?Tether?成为市值最大的稳定币,尽管当前的成功案例有限.
什么是REITsCHAIN?REITs?CHAIN全球资产数字化生态公链,是去中心化、开源的有智能合约的公链。有着丰富的Web3+DeFi+NFTs+DAOs+Metaverse新生态.
?以太坊经典 ETC在过去24小时内上涨了11%,达到26.07美元。令人印象深刻的是,它在一周内上涨了77%,在过去30天内上涨了62%。ETC的指标毫不含糊地表明,涨势确实在进行中.
链资讯