链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 聚币 > 正文

PAID:CertiK:PAID Network攻击事件还原-ODAILY_ENT

作者:

时间:

2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。CertiK团队第一时间和PAIDNetwork团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。PAID事件时间线

2021年3月5日,PAID遭受了持续约30分钟的攻击。通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。

第三步:攻击者销毁了6000万枚PAID,留出铸币空间。第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。总结

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。攻击者之后销毁了6000万枚PAID代币,留出铸币空间。最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:https://certik.org/projects/paidnetwork

标签:PAIDAIDENTcertikpaid币在哪能交易RAIDWomen Empowerment Tokencertik币价

聚币热门资讯
比特币:Uniswap v3:GAS费+吞吐量+AMM三重优化-ODAILY_门罗币价格未来预测

Uniswap是一种自动流动性协议,由恒定的产品公式提供支持,是在以太坊区块链上运行的协议代码。它的出现消除了我们对中介机构的需求,从而优先考虑了权力下放,抗审查性和安全性.

DEX:Mdex五月进展:交易量大涨,IMO活跃-ODAILY_MDX

Mdex致力于打造火币生态链Heco上的集DEX、IMO、DAO为一体的DeFi平台,为用户提供更加安全可信、资产选择和配置更多样化、预期投资回报率更高的去中心化代币兑换服务.

DEF:FIL单月暴涨422%,大矿工称远没到心理预期-ODAILY_coincheck交易平台未成年可以注册吗

3月31日,百融云创登陆港股,较开盘价暴跌16%,破发。这让此前屡尝港股打新甜头的投资人颇为懊恼。在一个港股打新群,一位投资人自嘲称:最近FIL捡了很多钱,所以,打新随意.

DEF:圆桌论坛:DeFi中场已至?资深从业者来告诉你 | 生机2021-ODAILY_Exen Coin

4月28日,由Odaily星球日报主办的「生机2021—区块链生态产业云峰会」顺利召开。本届云峰会邀请到区块链行业领袖、优质企业代表、矿业头部嘉宾以及顶级项目方,共同探讨行业变革,链接技术应用,

NFT:YFII社区NFT Tuesday|碰撞交流,从宏观层面展望NFT产业-ODAILY_Melody

直播时间 北京时间2021年4月6日20:00~20:45 直播平台:哔哩哔哩 主持:星主 嘉宾:曹寅,杨苗,Melody.

马斯克:狗狗币还能指望马斯克吗?近期行情或存在“星期五魔咒”-ODAILY_加密货币市场分析报告

马斯克的话在加密货币市场可能越来越不管用了。马斯克一直被称为是加密货币市场特别是狗狗币的风向标,狗狗币近两年最高时翻100多倍,马斯克是居功之首,曾几何时,只要马斯克在推特上提及狗狗币时,狗狗币.