北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析
整個攻擊流程如下:①攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。
Certora發現Lido V2協議23個問題,Lido已解決部分問題:金色財經報道,智能合約安全分析項目Certora在推特表示,其研究人員共發現Lido V2協議23個問題,包括2個嚴重問題和5個高危問題。Lido團隊已回應和解決了部分問題。[2023/4/28 14:32:23]
圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息②在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb
Balancer Labs將向在Balancer V2中發現漏洞的白帽黑客提供賞金:金色財經報道,Balancer Labs將向任何在其去中心化金融協議Balancer V2版本中發現漏洞的人提供最高達1000 ETH(約200萬美元)的賞金。根據該公司的網站,漏洞的級別設置為“嚴重”到“低”,高嚴重性報告將獲得1000 ETH的賞金,低嚴重性將獲得5 ETH。[2021/4/21 20:42:01]
圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約
美國喜劇演員Amanda Cerny宣布接受BTC支付:美國網紅、喜劇演員、模特Amanda Cerny在推特宣布,接受BTC支付。[2021/4/14 20:18:12]
圖3:攻擊者利用所持地址之一建立惡意代幣實現合約③當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
獨家 | Balancer流動性池數量已超過1200個:金色財經報道,據DappBirds DeFi Data專題數據顯示,Balancer流動性池數量已超過1200個,DeFi中鎖定資產總價值達52.86億美元,較昨日上漲2.88%,其中Maker,Compound,Synthetix,Aave,InstaDApp分別以13.80億美元,8.19億美元,6.41億美元,4.79億美元,3.14億美元位列前五名。[2020/8/6]
圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣④同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。
圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法
圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣⑤當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。
圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD總結
此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。
整理|秦曉峰編輯|郝方舟出品|Odaily星球日報 傳統金融市場,有一個非常重要的業務,那便是「主經紀商業務」.
1900/1/1 0:00:00DeFi崛起給IXO的家族新增了一名成員:IDO。IDO的名稱含義眾說紛紜,本文采取InitialDeFiOffering的含義,即去中心化協議的初始上線發行.
1900/1/1 0:00:00編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。2021年3月11日勢必會成為加密藝術史上最濃墨重彩的一筆.
1900/1/1 0:00:00編者按:本文來自Cointelegraph中文,Odaily星球日報經授權轉載。摩根大通進行的一項調查發現,在目前沒有交易過加密貨幣的公司中,有五分之一機構投資者認為他們的公司未來可能會交易加密.
1900/1/1 0:00:00整理|秦曉峰編輯|郝方舟出品|Odaily星球日報 3月2日下午,「算力黃金時代---算力經緯云端峰會」正式召開.
1900/1/1 0:00:00播報數據由Greeks.live和Skew.com提供。比特幣價格快速下跌至54000美元附近,以太坊也出現一些回調。昨天提到比特幣成交看漲期權以平值附近為主,看跌期權則為較虛值為主.
1900/1/1 0:00:00