北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Balancer:280万美元资金仍面临风险,请用户尽快提款:8月24日消息,Balancer在推特发文表示,280万美元资金仍面临风险,占TVL的0.42%,请用户尽快通过UI进行提款。[2023/8/24 10:40:14]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
Pendle:3个Pendle池受Balancer紧急措施影响,建议持有者提取基础LP资产:8月23日消息,DeFi收益率协议Pendle Finance宣布3个Pendle池受到Balancer紧急措施的影响,分别为ETHx-bbaWETH、swETH-bbaWETH、swETH-bbaWETH(旧),其他池不受影响。受影响池中的资金是安全的,但基础Balancer池中的交易已被禁用,不会产生进一步的费用或收益,建议持有者提取基础LP资产。[2023/8/23 18:16:48]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
Balancer敦促部分LP尽快移除流动性:金色财经报道,Balancer敦促其部分流动性提供者(LP)尽快从五个资金池中提取资金。Balancer表示,为避免即将公开披露的问题,已将部分Balancer池的协议费用已设置为0,目前正常运行。
但因部分流动性池中相关问题无法被解决,Balancer 敦促部分 LP 尽快提取流动性,包括以太坊主网上的 DOLA / bb-a-USD(当前锁仓额 360 万美元)、Polygon 上的 bb-am-USD/miMATIC(锁仓额 9000 美元)、Optimism 上 Beethoven X(由 Balancer 驱动)的It's MAI life(锁仓额 110 万美元)和Smells Like Spartan Spirit(锁仓额9万美元)以及Fantom上Beethoven X的Tenacious Dollar(锁仓额160万美元)。[2023/1/7 10:59:30]
日本营销公司Ceres投资Pantera Capital加密基金:日本营销公司Ceres宣布将向Pantera Capital提供一笔资金,以支付给该公司的第三只加密货币基金。 (cointelegraph)[2020/3/5]
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
标签:AUDTPSETHERETHEAUD价格tps币行情togetherbnb游戏官网男生用ethereal代表什么意义
在付费流媒体的推动下,全球音乐市场年收入已超过200亿美元。在传统音乐产业中,音乐创作者的权益难以维护、音乐二次创作使用授权难、价值链复杂导致支付效率低下等问题,成为阻碍音乐产业发展的重要因素.
可能你正在阅读本文的时,所使用的浏览器和内容终端之间的通信保密也正在运行中,这一过程得益于核心密码原语实现的身份验证.
根据研究公司Blockdata报告显示,谷歌母公司一直积极投资于Crypto空间。从2021年9月到2022年6月,该科技巨头和传统金融体系中的其他大公司已经向数字资产公司投资了超过60亿美元.
据官方消息,BitMEX现已支持TRC20-USDT的充值和提现! 美国加密税务公司TaxBit完成1亿美元融资:金色财经报道.
TRONDAO与BitTorrentChain宣布Mirana、BinanceCustody、FalconX、BittrexGlobal、APENFTMarketplace、Voxels、Tac.
据官方消息,当前USDD价格为1美金,持续维持与美元1:1锚定。 数据:70000000枚USDT从未知钱包转移到Huobi:金色财经消息,Whale Alert数据显示,70,000,000枚.
链资讯