北京时间 2023 年 5 月 20 日,Tornado.Cash 遭受提案攻击,攻击者已获利约 68 万美元。
SharkTeam对此事件第一时间进行了技术分析,并总结了安全防范手段,希望后续项目可以引以为戒,共筑区块链行业的安全防线。
攻击者地址:
0x092123663804f8801b9b086b03B98D706f77bD59
0x592340957eBC9e4Afb0E9Af221d06fDDDF789de9
攻击合约:
0xAF54612427d97489707332efe0b6290F129DbAcb
0x03ecf0d22f9ccd21144a7d492cf63b471916497a
CoinShares:2021年比特币碳排放仅占全球碳排放量0.08%:金色财经报道,CoinShares 最新研究发现,比特币碳排放影响微乎其微,2021年全年比特币碳排放为41 兆吨,虽然高于2020年36兆吨,但仅占全球碳排放量的不到0.08%,因此CoinShares认为这一数字几乎是“无关紧要”(inconsequential)的,因为根据Galaxy Digital 2019 年估算数据显示整个金融系统碳排放量达到130公吨。另据CoinShares报告显示,哈萨克斯坦、美国蒙大拿州和肯塔基州以及加拿大阿尔伯塔省三地占到43%的比特币挖矿碳排放,而瑞典和加拿大北克省和马尼托巴省的碳排放量最低,几乎可以忽略不计。[2022/2/2 9:27:23]
0x7dc86183274b28e9f1a100a0152dac975361353d(部署合约)
动态 | ShapeShift添加自托管钱包Portis支持:加密货币交易所ShapeShift今天宣布支持自托管多区块链钱包Portis,除了其当前硬件钱包支持外,用户现在可以在ShapeShift平台上快速创建一个基于web的钱包。(Prweb)[2019/11/16]
0xc503893b3e3c0c6b909222b45f2a3a259a52752d(假提案合约)
被攻击合约:
0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce
发起提案交易:
0x34605f1d6463a48b818157f7b26d040f8dd329273702a0618e9e74fe350e6e0d
攻击交易:
动态 | 加拿大演员William Shatner支持V神:据coindesk消息,八十七岁的加拿大演员和制片人William Shatner发推文支持以太坊创始人V神。[2018/11/8]
0x3274b6090685b842aca80b304a4dcee0f61ef8b6afee10b7c7533c32fb75486d
攻击流程:
(1 )首先,攻击者(0x08e80ecb)先向被攻击合约(0x5efda50f)发起了一个提案,并宣称此提案是16 号提案的补充
ShapeShift联合创始人:美国加密货币监管已变得更糟: 据CCN报道,ShapeShift首席运营官兼共同创始人Jon ShapeShift在接受CCN的采访时表示,他认为美国的加密货币监管实际上已经变得更糟,特别是在过去的6个月里。2017年的比特币价格的暴增将许多监管机构带入了这个空间,并使他们更加关注这一领域。他们中的大多数人不明白加密货币是什么,却想要控制它。此前,由于恶劣监管环境,ShapeShift从美国迁至了瑞士。[2018/6/16]
(2 ) 但提案中实际上存在一个额外的自毁函数。
(3 )很遗憾的是社区并没有发现此提案中存在问题,大多数成员都投票通过了这次提案。
(4 )攻击者创建了很多个合约来实行代币的转移
(5 )攻击者(0x08e80ecb)销毁了提案合约(0xc503893b)和他的创建合约(0x7dc86183)。随后在相同的地址重新部署了攻击合约(0xc503893b)。
(6 )修改完提案合约后,攻击者(0x08e80ecb)执行提案并将自己所控制的合约地址的代币锁定量都修改为10000 。
(7 )提案执行完成后,攻击者(0x08e80ecb)将代币转移到自己的地址,并获得被攻击合约的所有权。
漏洞分析:
由于提案合约(0xc503893b)的创建合约(0x7dc86183)是通过creat 2 进行部署的,所以两个合约销毁之后,在同一地址上可以部署新的逻辑合约,并且提案执行是通过delegatecall的形式调用,攻击合约可任意修改被攻击合约中的值。
事件总结:
本次事件发生原因是由于社区在检查提案时未能发现提案中存在的风险,并没有认真核实提案合约的代码是否存在安全漏洞。
针对本次攻击事件,我们在开发过程中应遵循以下注意事项:
(1 )在进行提案设计时充分考虑提案机制的安全性并尽量降低提案被中心化控制的风险,可以考虑通过降低攻击的价值,增加获得投票权的成本,以及增加执行攻击的成本等方式结合实际妥善设计。
(2 )在进行提案的投票前,社区应慎重检查合约代码是否有后门。
(3 )在提案通过前,可联系第三方安全审计公司对合约逻辑代码进行安全审计。
金色荐读
金色财经 善欧巴
迪新财讯
Chainlink预言机
区块律动BlockBeats
白话区块链
金色早8点
Odaily星球日报
欧科云链
MarsBit
原文作者:Babywhale,Foresight News随着 Synthetix 生态交易平台 Kwenta 推出代币,Synthetix 生态的项目已经基本完成了去中心化的进程.
你是否记得FTX 曾经有一项产品——允许其用户在该平台上交易合成的股权代币(追踪股票价格走势的数字资产)。GameStop(GME)是最受欢迎的股权代币之一.
原文作者:domothy, 由 DeFi 之道翻译编辑。每一条技术路线,都将会在“世界计算机”处交汇.
创作者:Hahaho 审核者:Shaun GameFi 一直是Web3生态备受关注的赛道,因为其具有对Web2用户更友好的特性,相比Web3其它赛道有更多的Web2用户.
备受瞩目的古典音乐NFT平台KOLO.Market自强势杀入市场以来,受到广大古典音乐爱好者以及币圈玩家的热捧.
一年前,加密风投巨头Andreessen Horowitz(a16z)宣布推出其首支游戏基金 Games Fund One,规模达6亿美元,一年过去,该基金已经进行了 25 项投资.