比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

鑄幣疑云:Paid Network被盜細節分析_WEB3

Author:

Time:1900/1/1 0:00:00

消息顯示,以太坊?DApp?項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000?ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

某鯨魚地址8小時前將7天內累積的1600萬枚FTM存入幣安并出售:7月15日消息,據Lookonchain監測,受Multichain事件影響,某鯨魚地址8小時前將過去7天累積的1600萬枚FTM(480萬美元)全部存入幣安進行出售。目前已提取270萬枚USDT,FTM價格約為0.3美元,且目前仍在賣出FTM。

在過去的7天里,該鯨魚向幣安存入了380萬枚USDC,并提取了1600萬枚FTM,平均買入價格為0.24美元,這意味著總利潤約為98.5萬美元。[2023/7/15 10:56:51]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

a16z普通合伙人:Web3游戲“死亡”的說法被夸大:7月20日消息,a16z普通合伙人Jon Lai在社交媒體發文稱,Web3游戲“死亡”的說法被夸大,每個BUIDLer都知道新平臺會有起伏,開發人員需要嘗試多次才能使用新原語進行構建,他對Web3游戲長期發展持樂觀態度。以PokémonGO為例,這款游戲原型Ingress直到iPhone首次發布(2007年)后五年才推出,因此Web3鏈上游戲不能急于完成產品周期,但短期內Web3游戲也有很多機會通過NFT和開放經濟來擴展現有游戲類型,尤其是在開放經濟中有大量潛力,當創作者可以自由地利用彼此資產,同時所有權和財務獎勵可由代碼保證,Web3游戲將會變得更加強大。[2022/7/20 2:25:44]

但是,事實真是如此嗎?

安全團隊:NumberSwap發生RugPull:金色財經消息,據CertiK安全團隊,NumberSwap發生RugPull,代幣價格下跌超96%。目前,部署者擁有超過該項目98%的代幣。此外,他們還正在出售不到1%的供應量,吸引投機者來購買。[2022/7/20 2:24:39]

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:MININTWEBWEB3gemini直播號BraintrustWeb3Campweb3.0幣種

火幣網下載官方app
幣圈龍校長:3/6 晚間 BTC ETH 行情分析及操作建議_GIN

各位幣友們,大家好,我是幣圈龍校長本著負責、誠懇、認真的態度用心寫好每一篇分析文章,在交易中,最重要的就是要敢于出手,面對機會,果斷出擊,這樣才不至于錯失機會.

1900/1/1 0:00:00
實戰解析幣圈:3-6 午間以太坊行情分析及操作建議 沖高回落 順應趨勢操作_ZEB

ETH行情分析: ?以太早間波動比較有限,幣價在10日均線上方移動,早盤行情不斷收窄。從小時圖來看,以太昨晚實體收回昨日早間跌幅,幣價重新回到前期的籌碼區間移動,短期布林中軌對價格形成壓制,附圖.

1900/1/1 0:00:00
紅日說幣:3-4 以太坊完美布局 多空斬獲129個點位 明者則跟 疑者則棄_SIL

我這里沒有華麗的語言,只有實實在在的交易,以及明明郎朗的操作,市場只有一個方向,不是多頭也不是空頭,而是做對的方向.

1900/1/1 0:00:00
老魚說幣:3.7BTC晚間多空單雙殺斬殺1990個點位 當你猶豫的時候別人就在盈利_CAS

在這個市場會投資的永遠需要靈活變通的能力以及當機立斷的決定。對于市場而言,最大的魅力就在于在投資風險市場中控制好風險去博取最大的利潤,長期關注本人的朋友應該知道,本人的做單方式非常穩健,從來不避.

1900/1/1 0:00:00
幣圈王哥:比特幣48500的真正企穩? 才能讓行情有新的突破_比特幣

行情回顧: 行情今日先是向下回踩低點46900后,觸底反彈,迎來了多方的強勢;小時圖中,接連三根陽K線,成功的將幣價拉回至47000上方運行.

1900/1/1 0:00:00
以太坊 2.0 能超越比特幣嗎?解析以太坊發展機遇和投資潛力_比特幣

原文標題:《觀點丨以太坊2.0是否將超越比特幣?》撰文:TimDenning 翻譯:Jeremy 以太坊是很酷的。但問題是它非常復雜。我在2016年參與了以太坊。這是我做過的最好的決定之一.

1900/1/1 0:00:00
ads