本文由CertiK原创,授权金色财经首发。
北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目True Seigniorage Dollar发生新型攻击事件,总损失高达约1.66万美金。
此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。
整个攻击流程如下:
① 攻击者
地址:
0x50f753c5932b18e9ca28362cf0df725142fa6376
通过低价收购大量True Seigniorage Dollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。
Bitfarms首席挖矿官:中国下线算力或将被矿工搬迁到新场地所抵消:比特币矿企Bitfarms首席挖矿官Ben Gagnon表示,(除中国外)所有其他继续运营的矿工都获得了相当数量的市场份额,因此每天都能获得区块奖励,此外,他表示,虽然我们可能会在接下来的几周内看到更多的中国算力下线,但与我们已经看到的相比,这将很小,并且可能会被第一批矿工搬迁到新场地所抵消。但是,很难确定中国挖矿运营商将在何时何地重新安装他们的机器,因为世界上其他任何地方都不存在中国基础设施规模,因此,这仍受到现实世界的限制。(Decrypt)[2021/7/4 0:25:48]
图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息
② 在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。
KuCoin (库币)上线 Polkadex (PDEX) ,现已开放充值:据KuCoin (库币)官方公告,KuCoin (库币)宣布全球首发上线 Polkadex (PDEX)项目并支持PDEX/USDT 交易服务 ,目前已开启PDEX的充值服务,于4月16日20:30正式开放交易。 Polkadex是基于波卡生态的Substrate区块链框架开发的去中心化交易平台。以“全民的交易所”著称,KuCoin (库币)旨在发掘全球优质区块链项目,为来自207个国家的600万用户提供币币、法币、杠杆、合约、矿池、借贷等一站式服务。[2021/4/16 20:26:38]
恶意代币实现合约地址:
0x26888ff41d05ed753ea6443b02ada82031d3b9fb
图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约
图3:攻击者利用所持地址之一建立恶意代币实现合约
③ 当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币
④ 同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。
通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。
图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法
图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币
⑤ 当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。
图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD
此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。
攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果, 从而保证其恶意提案被通过。
虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。
CertiK安全技术团队建议:
从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。
头条 ▌中国人民银行重庆营管部发布关于谨防虚拟货币交易活动的风险提示 3月16日,中国人民银行重庆营业管理部发布“关于谨防虚拟货币交易活动的风险提示”。
NFT 为艺术家提供了一种在互联网上赚更多钱的手段,但也引起了新的版权侵权形式。 内容概述 NFT 已经引起新的侵权问题,这会让艺术家们感到沮丧; 从更大的角度来看,虽然问题存在,但由于 NFT 给艺术家们带来了新的收入来源,因此目前仍未得到重视。 如果说要挑一个 2021 年关键词,那么“NFT”十有八九会入选。
根据CNBC,据NonFungible.com称,近几周来,NFT的销售额猛增,在2021年已经突破了5亿美元。上周佳士得拍卖会上售出了价值6900万美元的Beeple NFT,名为“ Everydays:The First 5000 Days ”,以及价值300万美元的NFT运动鞋。
文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别防上当。 据欧意OKEx的数据显示,当前BTC/USDT现货报价为 56198,24小时涨幅/跌幅为 7 %。
金色财经讯,3月12日消息,以太坊核心开发者Mikhail Kalinin在以太坊2.0技术规范中发表了关于将以太坊1.0合并至2.0的讨论稿(WIP),他表示和DannyRyan在最近的一次以太坊2.0会议中讨论了该话题,双方正在制定技术规范,以实现“最小化合并”的方案。
链资讯