本文由Certik原创,授权金色财经首发。
2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。
攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。
因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。
CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。
2021年3月5日,PAID遭受了持续约30分钟的攻击。
Bitfarms宣布将向美国机构投资者私募4000万加元:加拿大上市加密货币矿业公司Bitfarms宣布已与某些机构投资者签订认购协议,在美国私募发行价值约为4000万加元的股票,包括11560695股普通股,以及以每股普通股3.46加元的购买价格购买总计高达11560695股普通股的认股权证和相关认股权证。认股权证的行权价格为每股普通股3.01美元,行权期为三年半。本次私募的净收益将主要用于收购其他矿机、扩建基础设施和改善营运资本状况。本次私募预计将于2021年2月10日左右结束。(Globenewswire)[2021/2/8 19:11:40]
通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:
第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。
第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。
第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。
第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。
最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。
CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。
2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。
攻击者之后销毁了6000万枚PAID代币,留出铸币空间。
最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。
客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。
当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。
而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。
CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。
复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:
https://certik.org/projects/paidnetwork
暴走时评:今年NFT市场的交易已经超过3亿美元,其中最稀有佩佩蛙NFT “Homer Pepe” 刚刚以205 ETH的价格转手。Homer Pepe在有史以来第一次区块链艺术品的现场拍卖会上被Kell以3.85万美元的价格拍下—据说这是当时非同质代币(NFT)拍品的最高价格。
DeFi数据 1.DeFi总市值:891.88亿美元 市值前十币种排名数据来源DeFibox DeFi总市值数据来源:Coingecko 2.过去24小时去中心化交易所的交易量:19.3亿美元 过去24小时去中心化交易所的交易量数据来源:Debank 交易量排名前十的DEX 排名来源:DeFibox 3.DeFi借贷平台借款总量:106。
金色周刊是金色财经推出的一档每周区块链行业总结栏目,内容涵盖一周重点新闻、行情与合约数据、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,带您一览本周区块链行业大事。 ▌美联储主席:加息将发生在经济“几乎完全复苏”的情况下 美联储主席鲍威尔就美国经济发表讲话。
澳大利亚CPA委托撰写的一份44页的报告深入研究了全球央行数字货币的发展状况,探讨了未来几年托管CBDC的可行区块链候选方案,同时对三种交易量最大的加密货币比特币、以太坊和XRP进行了评估。
金色财经讯,3月4日,据中国证券报消息,火币资管将会发行三只虚拟货币基金,分别为比特币追踪基金,以太坊追踪基金和多策略虚拟货币基金。
北京时间2021年3月4日,根据【链必安-区块链安全态势感知平台(Beosin-OSINT)】舆情监测,BSC生态DeFi项目Meerkat Finance疑似跑路,其自称金库合约遭遇到黑客攻击,黑客利用漏洞盗取了金库中的全部资金。目前该项目网站已经无法打开。