本文來自BlockSec,Odaily星球日報經授權轉載。8月12日,根據DAOMaker電報群用戶反饋,該項目疑似遭到黑客攻擊,價值700萬美元的USDC被黑客提取至未知地址。BlockSec團隊經過分析后發現,該事件的起因是私鑰泄露或者內部人士所為。攻擊過程
根據我們的交易分析系統我們發現,攻擊的過程非常簡單。攻擊交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者錢包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻擊者合約;0x0eba461d9829c4e464a68d4857350476cfb6f559:中間人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合約創建者。
DeFi交易加速工具bloXroute宣布推出DexGuard,支持用戶更高效交易:5月20日消息,DeFi交易加速工具bloXroute宣布推出其新產品DexGuard。據悉,該產品作為bloXroute現有產品BackRunMe(v1.0)的品牌重塑,將為以太坊網絡上的交易提供保護,讓用戶安全地提交隱私交易,直接與礦池進行隱私通信,保護用戶免受搶跑和三明治攻擊,同時有效降低gas費以避免網絡堵塞。[2022/5/20 3:31:24]
Applied Blockchain調整IPO細節:將以6至8美元的價格發行超過857萬股普通股:金色財經消息,根據企業區塊鏈公司Applied Blockchain向美國證券交易委員會(SEC)提交的一份文件,Applied Blockchain調整納斯達克IPO細節,將以6至8美元的價格發行超過857萬股普通股,而非此前申請的以18.54美元的估計平均價格發行約320萬股股票。IPO總體籌資規模保持不變,為6000萬美元。(sec.gov)[2022/4/12 14:20:26]
攻擊者XXX調用受害者錢包合約的函數查詢用戶余額,然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作,因此通常需要對調用者的身份做校驗。我們通過分析發現,攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。這里的問題就變成為什么攻擊者能具有相應的權限?通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
BlockApps和Optimum合作開發區塊鏈能源使用跟蹤解決方案:BlockApps和Optimum合作,利用STRATO區塊鏈平臺開發能源使用跟蹤解決方案。(Techsutram)[2020/3/28]
0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限,那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢?繼續追蹤,我們發現它的admin權限是由另外一筆交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
聲音 | Block.one CEO:相信EOS由社區治理和掌控是重要的:Block.one首席執行官 Brendan Blumer近日表示:我們的目標是公開我們所認為的DPOS治理的最佳模式,并讓社區接管它。現階段我們沒有計劃去投票,但是,如果我們認為我們能夠代表足夠多的少數的投票人參與,這種情況在未來就會改變。EOS是由社區發布和運行,我們相信EOS由社區治理和掌控是重要的。此前,他曾表示,認可投票回扣,或者說投票分紅,以及一票一投,而不是如今的30投。[2019/1/10]
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。然而我們發現,受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。
總結一下,整個的流程是:
那問題就來了,為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢?這里有兩個可能性。第一個0x054e是內鬼,第二個就是私鑰泄露。其他
另外一個有趣的點就是攻擊者的合約是開源的,代碼簡單易懂,可以作為學習合約開發的啟蒙教程。
但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用?最后
最近區塊鏈安全接連出現大的安全事件,包括PopsicleFinance雙花攻擊分析和PolyNetwork攻擊關鍵步驟深度解析,損失在幾百萬美金到數億美金之間。項目方如何提高安全意識,保護好代碼安全和資產安全,正是BlockSec團隊希望和社區一起能解決的問題。只有把安全做好,DeFi的生態才能更健康有序發展。
Tags:BLOLOCKLOCBLOCblockchaininfo登不上LaunchblockBlockchain Propertyblockchain什么意思中文翻譯
在國際局勢多變、監管日趨嚴格的形勢下,合規已被許多國家提升到了維護國家經濟安全和國際秩序的戰略高度。在傳統銀行業積極升級合規方案,提升合規風控能力的同時,加密金融領域擁抱合規已成趨勢.
1900/1/1 0:00:00CTG即將在Chair平臺鑄造10萬個以盈利金融資產交易策略為標的的權益NFT。CTG注冊成立于新西蘭,在亞洲是一家頗具影響力的資產交易管理公司.
1900/1/1 0:00:00論文作者:Kleros創始人兼首席執行官FedericoAst、巴黎第二大學教授BrunoDeffains 編譯:白澤研究院 譯者注:本文篇幅較長,但譯者已經進行了邏輯整理.
1900/1/1 0:00:00如果你對加密貨幣世界并不陌生,那么你一定聽過“元宇宙”這個詞匯。它似乎是個近期才在加密貨幣領域興起的時髦熱詞,不過作為一種概念,它早在幾十年前便已存在.
1900/1/1 0:00:00“作為一名建設者,當你看到你已經解決了一個現實世界的問題,并且對人們的生活產生了積極的影響時,一切都會變得有意義.
1900/1/1 0:00:00“買一個NFTAvatar,然后把它換成頭像。”如果未來有一本《元宇宙漫游指南》的話,這句話應該被寫在扉頁上.
1900/1/1 0:00:00