certik:CertiK：自家客户被盗了？一文还原Axion Network攻击事件始末_ERT

在11月2日上线后仅几个小时，AxionNetwork代币AXN的价格暴跌了100%。这次价格暴跌披露了其存在的漏洞，下文是CertiK安全审计团队针对此事件的完整分析。2020年11月2日北京时间晚上七时左右?，黑客利用AxionStaking合约的unstake函数设法铸造了约800亿个AXN代币。黑客随后将AXN代币在Uniswap交易所中兑换以太币，重复此过程，直到Uniswap中ETH-AXN交易对的以太币所被耗尽，同时AXN代币价格降至0。在攻击发生后的几分钟内，CertiK安全审计团队获知了该攻击事件，并即刻展开了调查。CertiK安全审计团队认为该攻击极大可能是内部操作造成的，该内部操作通过在部署代码时，对项目依赖的OpenZeppelin依赖项注入恶意代码。被恶意利用的智能合约函数不属于CertiK审核的范围内。在将Axion项目代码和OpenZeppelin依赖代码结合并进行部署时，该恶意代码随着OpenZeppelin依赖代码被注入到部署的项目中。攻击预谋

美国国会确认拜登已获得超270张选举人票 赢得美国大选:1月7日，据CNN报道，美国国会于当地时间1月6日举行参众两院联席会议，进行选举人票的清点工作。截至目前，乔·拜登已获得271张选举人票，超过胜选所需的270张选举人票，实际上已赢得美国大选。在美国国会完成清点工作后，联席会议主席、美国副总统彭斯将正式宣布美国总统大选的胜者。[2021/1/7 16:39:23]

黑客在发动攻击时使用的是前一天从tornado.cash?中获取的匿名资金?，说明这是一次有预谋的攻击。可能是以防攻击失败而节省一些资金，黑客账户在收到资金后，立即通过tornado.cash转出了2.1个以太币。作为本次攻击的准备工作的最后一步，黑客从Uniswap交易所购买了大约70万个HEX2T代币?。然而，这些资金最终没有参与到攻击中，而是为掩护攻击行为而放出的烟雾弹。攻击准备

中币（ZB）市场研究报告：美国大选致使避险情绪上升成上涨行情催化剂:据中币（ZB）市场研究报告指出，在美国大选期间避险情绪继续上升，此基本面利好消息成昨日加密市场突然上涨的催化剂。此消息使BTC和ETH分别攀升至年度历史最高水平，交易时段以比特币和以太币的上涨结束，大部分替代币则大幅下跌。该报告预期多头将小幅修正BTC价格，在突破阻力处打出更高的低点；并认为为了保持牛市势头，ETH需要在388.92美元的领口处创造一个震荡低点，如果多头在未来的日子里守住了颈线，是多头进场的一个亮点。更多详情请查阅中币（ZB）官方发布的研究报告。[2020/11/5 11:43:11]

在北京时间下午四时?，黑客先以数量为0和持续抵押时间为1天为参数调用stake函数，在AxionNetwork的抵押合同中创建“空”抵押。这为黑客创建了一个Session条目，其会话ID为6，数量为0，股价为0。此后，黑客预料到攻击将会成功，因此向Uniswap交易所预先授权了无限制的AXN。随后，他们批准了Axion的NativeSwap合约，以获取即将转换为AXN代币的资金额。黑客在大约北京时间下午五时?调用了NativeSwap合约的deposit函数，然而黑客并未调用该合约的withdraw函数来获取其交换得到的AXN，这在NativeSwap合约的swapTokenBalanceOf函数清晰可见。随后，他们在执行攻击前又调用了一次deposit函数，但是这次调用执行最终失败。攻击执行

FTX或通过美国大选预测押注获利100万美元:与2020年美国总统大选相关的加密市场预测市场的交易量激增，可能有助于为加密货币交易所FTX带来多达100万美元的费用收入。（The Block）[2020/11/5 11:40:07]

以上提到的交易仅仅是黑客为了掩护真正unstake攻击的烟雾弹。由于黑客进行的交易未更改sessionDataOf映射，因此可以得出结论，这是一次多地址攻击。为了找到可能导致sessionDataOf映射受到影响的原因，CertiK安全审计团队在GitHub代码存储库中审查了项目方与CertiK共享的合约源代码。经过仔细验证，团队无法在stake函数之外检测到对其或其成员的任何修改操作，这使得我们怀疑该项目智能合约是否被正确的部署。攻击途径

在分析了已部署的Staking合约源代码之后，CertiK安全审计团队在Staking合约的已部署的源代码?第665-671行发现了一处代码注入，该代码注入发生在被修改的OpenZeppelin库中的AccessControl智能合约。链接中的checkRole函数不属于OpenZeppelinv3.0.1的实现，而OpenZeppelinv3.0.1?在项目的GitHub代码存储库中被列为依赖项。在checkRole函数中，存在以下assembly模块：

美国大选临近 贝莱德做空美元兑亚洲货币:距离美国大选只剩一周之际，管理着7.3万亿美元巨量资产的贝莱德也加入了高盛和瑞银资产管理等全球同行看跌美元的行列。贝莱德认为此番大选无论是谁最终获胜，美国史无前例的财政和货币刺激措施都会使美元的颓势旷日持久。该公司驻新加坡亚洲信贷主管Neeraj Seth表示，贝莱德持有适度的美元兑人民币、印度卢比和印尼盾等亚洲货币的空头头寸。当投资者四处寻求高收益、高成长资产之际，这三种亚洲货币最有可能从美元的颓势中获益。“我的基线预期是较为温和的美元弱势至少还会持续一到三年时间，这种趋势不会变。”Seth周四接受电话采访时说。（金十）[2020/10/27]

此函数允许特定地址通过底层调用根据其传入的参数对合约进行任意写入。带注释的assembly模块如下所示：

外媒：一艘销往中国的美国大豆船货首次使用区块链技术:据路透社报道，交易参与人士表示，一艘运往中国的美国大豆船货成为第一笔完全通过区块链完成的农产品贸易。报道指出，路易达孚、山东渤海实业股份有限公司、荷兰国际集团、法国兴业银行、荷兰银行参与了这笔贸易。此项贸易中，销售合同、信用证以及各项凭证都在Easy Trading Connect(ETC)平台以数字化方式进行。“我们注意到效率有极大的提升......远超过我们的预期，”路易达孚贸易业务全球主管Robert Serpollet表示，并称花在文件及数据处理上的时间压缩了五倍。[2018/1/22]

此函数是在合约部署时添加的，因为OpenZeppelin的AccessControl的实现中并不存在此函数，这意味着参与部署代币的AxionNetwork成员从中作梗。结论

此次攻击涉及到的代码，是在合约部署前被人为故意添加进去的。此次事件与CertiK完成的审计毫无关联，对这次攻击所负责的人应是参与了AxionNetwork合约部署的相关人员。在此CertiK也特别强调，为了保证审计报告的有效性，和对项目安全的保障，审计报告应包括已部署的智能合约地址。地址所指向的合约的代码应是和被审计过的源代码相同的。因此，请大家切勿因为看到项目“已审计”就不做任何背景调查而盲目跟进。CertiK安全预言机，作为一个链上可实时交互进行安全检测的工具，可以有效确保并验证已部署的智能合约匹配已被审计的版本。它可以从去中心化的安全运营商网络中检索一组安全评分，获得安全可靠的网络评估源代码，所有人都可以通过使用预言机来验证合约安全性。在基于区块链的生态系统中，提高安全性就必须将传统审计与链上安全性分析相结合。CertiK安全预言机将有效减少链上交易与实时安全检测之间的距离，致力于运用去中心化的方法来解决安全难点。

参考链接：?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4?https://tornado.cash/?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so

标签：certikCERTERTCERcertik币价Animal ConcertsKnoxstertokenCER价格

比特币价格热门资讯