北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件,总损失高达约1.66万美金。此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。技术分析
整个攻击流程如下:①攻击者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通过低价收购大量TrueSeigniorageDollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。
CertiK:ALG代币跌幅超过94%,需警惕风险:5月30日消息,CertiK Alert发推称,此前曾在5月17日提醒社区ALG代币暴跌超过99%。5月19日,新ALG代币被创建,今天的跌幅超过94%,CertiK提醒社区警惕风险。合约创建者地址为0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]
图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息②在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。恶意代币实现合约地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb
Certora完成3600万美元B轮融资,Jump Crypto领投:5月17日消息,为区块链智能合约提供安全分析工具的以色列公司Certora完成3600万美元B轮融资,Jump Crypto领投,Tiger Global、Galaxy Digital、Electric Capital、ACapital、Framework Ventures、Coinfund、Lemniscap、Coinbase、VMware等参投。(The Block)[2022/5/17 3:22:59]
HyperGraph 挖矿和通证合约通过CertiK审计:据官方消息,HyperGraph 挖矿和通证合约日前通过了CertiK的审计,CertiK 对HyperGraph合约进行了审计,并就相关逻辑与开发团队进行了反复讨论和确认沟通。CertiK的报告也就某些逻辑的开发提出了很好的意见和改进建议,这对于团队后续的智能合约开发很有帮助。[2021/5/26 22:47:04]
图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约
CertiK:确定NoaSwap为项目SheepSwap同一团队运作,请用户保持警惕:4月11日,安全公司CertiK发推表示,已确认NoaSwap由SheepSwap的同一团队运作,CertiK提醒用户保持谨慎,警惕风险。[2021/4/11 20:07:35]
图3:攻击者利用所持地址之一建立恶意代币实现合约③当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币④同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。
图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法
图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币⑤当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。
图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD总结
此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。CertiK安全技术团队建议:从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。
标签:TSDQUOIZEDAOTSD币QuotaDecentralized ActivismAstridDAO Token
编者按:本文来自Cointelegraph中文,Odaily星球日报经授权转载。比特币投资公司NYDIG首席执行官RobbyGutmann表示,我们正处于比特币大规模应用的边缘.
编者按:本文来自Cointelegraph中文,Odaily星球日报经授权转载。以太坊联合创始人VitalikButerin认为,以太坊网络即将扩展接近100倍,并预测Optimism将在未来几.
编者按:本文来自金色财经,Odaily星球日报经授权转载。比特币作为无可争辩的、最具开创性的加密货币之王,却似乎并没有较好地解决一个区块链重要问题——隐私.
编者按:本文来自金色财经,Odaily星球日报经授权转载。时隔1年半,莱特币MimbleWimble隐私协议终于有了实质性进展.
币安智能链(BSC)以及火币生态链(HECO)在中国区块链行业获得了广泛的关注。两者都是智能合约链,以通过更快、更高效的交易等特点吸引去中心化应用(Dapp)开发者为目标.
编者按:本文来自Cointelegraph中文,Odaily星球日报经授权转载。如加密货币行业的很多人一样,SamBankman-Fried也是为了挣钱而入行.