比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

CertiK:自家客戶被盜了?一文還原Axion Network攻擊事件始末_BAL

Author:

Time:1900/1/1 0:00:00

在11月2日上線后僅幾個小時,AxionNetwork代幣AXN的價格暴跌了100%。這次價格暴跌披露了其存在的漏洞,下文是CertiK安全審計團隊針對此事件的完整分析。2020年11月2日北京時間晚上七時左右?,黑客利用AxionStaking合約的unstake函數設法鑄造了約800億個AXN代幣。黑客隨后將AXN代幣在Uniswap交易所中兌換以太幣,重復此過程,直到Uniswap中ETH-AXN交易對的以太幣所被耗盡,同時AXN代幣價格降至0。在攻擊發生后的幾分鐘內,CertiK安全審計團隊獲知了該攻擊事件,并即刻展開了調查。CertiK安全審計團隊認為該攻擊極大可能是內部操作造成的,該內部操作通過在部署代碼時,對項目依賴的OpenZeppelin依賴項注入惡意代碼。被惡意利用的智能合約函數不屬于CertiK審核的范圍內。在將Axion項目代碼和OpenZeppelin依賴代碼結合并進行部署時,該惡意代碼隨著OpenZeppelin依賴代碼被注入到部署的項目中。攻擊預謀

Aave社區提議與Balancer達成戰略合作,并購買30萬枚BAL代幣:3月23日消息,官方消息,Aave社區提議與Balancer達成戰略合作,將經濟儲備中的14,666.67 AAVE兌換成200,000 BAL代幣;部署Bonding Curve以在市場上額外獲得100,000個BAL代幣,成本為1,105,500美元。Aave將成為擁有300,000 BAL代幣的八位代幣持有者之一。所有300,000個BAL代幣都將存入Balancer V2 BAL:ETH (80:20) 池,并在3月28日參與Balancer修訂后的代幣經濟學。[2022/3/23 14:12:38]

黑客在發動攻擊時使用的是前一天從tornado.cash?中獲取的匿名資金?,說明這是一次有預謀的攻擊。可能是以防攻擊失敗而節省一些資金,黑客賬戶在收到資金后,立即通過tornado.cash轉出了2.1個以太幣。作為本次攻擊的準備工作的最后一步,黑客從Uniswap交易所購買了大約70萬個HEX2T代幣?。然而,這些資金最終沒有參與到攻擊中,而是為掩護攻擊行為而放出的煙霧彈。攻擊準備

Cere Network將為Lithium Finance提供數據隱私保護:9月23日消息,私有資產數據預言機協議Lithium Finance宣布與波卡生態去中心化數據云平臺Cere Network達成合作,以加強數據隱私保護,并保護所有智慧節點(Wisdom Nodes)的定價數據。

據了解,Cere Network是首個基于波卡 Polkadot 構建的去中心化數據云平臺,針對服務數據集成、數據協作進行了優化。Lithium Finance是一個私有資產數據預言機協議,旨在為DeFi協議提供如pre-IPO股票價格、私募股權價格等無法立即兌現的資產價格定價。[2021/9/23 17:01:37]

在北京時間下午四時?,黑客先以數量為0和持續抵押時間為1天為參數調用stake函數,在AxionNetwork的抵押合同中創建“空”抵押。這為黑客創建了一個Session條目,其會話ID為6,數量為0,股價為0。此后,黑客預料到攻擊將會成功,因此向Uniswap交易所預先授權了無限制的AXN。隨后,他們批準了Axion的NativeSwap合約,以獲取即將轉換為AXN代幣的資金額。黑客在大約北京時間下午五時?調用了NativeSwap合約的deposit函數,然而黑客并未調用該合約的withdraw函數來獲取其交換得到的AXN,這在NativeSwap合約的swapTokenBalanceOf函數清晰可見。隨后,他們在執行攻擊前又調用了一次deposit函數,但是這次調用執行最終失敗。攻擊執行

Ocean Protocol與Balancer Labs合作將創建數據自動做市商:9月24日消息,基于區塊鏈的數據貨幣化創業公司OceanProtocol宣布將與BalancerLabs合作,創建首個用于數據的自動做市商(AMM)。據悉,OceanProtocol旨在幫助個人和企業解鎖數據并將其貨幣化,將數據和人工智能的好處擴展到少數囤積、控制并從中致富的組織之外。Ocean創始人TrentMcConaghy表示,創建高效的數據市場是實現這一目標的關鍵,因此與BalancerLabs達成合作。(CoinDesk)[2020/9/24]

以上提到的交易僅僅是黑客為了掩護真正unstake攻擊的煙霧彈。由于黑客進行的交易未更改sessionDataOf映射,因此可以得出結論,這是一次多地址攻擊。為了找到可能導致sessionDataOf映射受到影響的原因,CertiK安全審計團隊在GitHub代碼存儲庫中審查了項目方與CertiK共享的合約源代碼。經過仔細驗證,團隊無法在stake函數之外檢測到對其或其成員的任何修改操作,這使得我們懷疑該項目智能合約是否被正確的部署。攻擊途徑

聲音 | 巴西醫生Bettina Grajcer:未來健康行業將使用區塊鏈技術共享醫療數據:據Cointelegraph 12月7日消息,巴西商人兼醫生Bettina Grajcer在最近發文表示,健康行業正經歷著獨特的轉型時刻,未來的趨勢將是使用區塊鏈等技術。她表示,將來應使用區塊鏈共享醫療數據。[2019/12/8]

在分析了已部署的Staking合約源代碼之后,CertiK安全審計團隊在Staking合約的已部署的源代碼?第665-671行發現了一處代碼注入,該代碼注入發生在被修改的OpenZeppelin庫中的AccessControl智能合約。鏈接中的checkRole函數不屬于OpenZeppelinv3.0.1的實現,而OpenZeppelinv3.0.1?在項目的GitHub代碼存儲庫中被列為依賴項。在checkRole函數中,存在以下assembly模塊:

聲音 | Spencer Bogart:比特幣ETF等因素可致比特幣價格暴漲:Blockchain Capital合伙人Spencer Bogart周三在接受CNBC采訪時表示,任何數量的催化劑都可能導致比特幣價格暴漲。這些催化劑包括全球貿易緊張局勢、比特幣ETF的可能性、不斷上升的匯率,以及萬事達最近宣布的一項新專利允許比特幣在信用卡上進行交易。[2018/7/26]

此函數允許特定地址通過底層調用根據其傳入的參數對合約進行任意寫入。帶注釋的assembly模塊如下所示:

此函數是在合約部署時添加的,因為OpenZeppelin的AccessControl的實現中并不存在此函數,這意味著參與部署代幣的AxionNetwork成員從中作梗。結論

此次攻擊涉及到的代碼,是在合約部署前被人為故意添加進去的。此次事件與CertiK完成的審計毫無關聯,對這次攻擊所負責的人應是參與了AxionNetwork合約部署的相關人員。在此CertiK也特別強調,為了保證審計報告的有效性,和對項目安全的保障,審計報告應包括已部署的智能合約地址。地址所指向的合約的代碼應是和被審計過的源代碼相同的。因此,請大家切勿因為看到項目“已審計”就不做任何背景調查而盲目跟進。CertiK安全預言機,作為一個鏈上可實時交互進行安全檢測的工具,可以有效確保并驗證已部署的智能合約匹配已被審計的版本。它可以從去中心化的安全運營商網絡中檢索一組安全評分,獲得安全可靠的網絡評估源代碼,所有人都可以通過使用預言機來驗證合約安全性。在基于區塊鏈的生態系統中,提高安全性就必須將傳統審計與鏈上安全性分析相結合。CertiK安全預言機將有效減少鏈上交易與實時安全檢測之間的距離,致力于運用去中心化的方法來解決安全難點。

參考鏈接:?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4?https://tornado.cash/?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so

Tags:CERNCEBALANCLanceriabinancebal幣是什么幣Tsunami finance

芝麻開門交易所
投資策略應用簡述_REY

Overview概述在交易過程中,技術指標是服務于交易策略的,而交易周期和基本面都是交易策略的重要組成部分,本文將簡單介紹交易周期的判定對交易策略的影響以及逆基本面增長的交易策略.

1900/1/1 0:00:00
行情分析:比特幣沖擊16000美元未果,現在要減倉嗎?_ETH

市場要聞 1、上海市金融科技創新監管試點首批應用完成登記銀聯區塊鏈產品在冊2、美聯儲主席鮑威爾再次呼吁國會推出更多財政刺激方案3、Coinbase或正加速布局日本市場4、ETH2.

1900/1/1 0:00:00
以太坊2.0啟動倒計時25天,信標鏈是否會再延遲?_ETH2

以太坊2.0升級是2020年區塊鏈行業備受矚目的一個行業事件。根據最新消息,以太坊2.0規范的1.0版本已經發布,如果一切按計劃進行,那么以太坊區塊鏈2.0升級將在12月初進行.

1900/1/1 0:00:00
Chain Hill Capital:剖析灰度背后的金主_Chain

本文系ChainHillCapital首席策略師AnnHsu撰寫,未經授權嚴禁轉載,轉載請聯系ChainHillCapital仟峰資本公眾號.

1900/1/1 0:00:00
Kira網絡:獨創的共識,多樣的資產,從共識到治理_KIRA

嘉賓介紹 大家好!我是MilanaValmont,我擁有紐約的公司財務背景。我于2017年初以投資者的身份進入了加密貨幣領域,同年晚些時候我以社區志愿者的身份加入了幣安交易所.

1900/1/1 0:00:00
BTC比以往任何時候都接近成為全球儲備貨幣_STR

編者按:本文來自金色財經,Odaily星球日報經授權轉載。在經濟衰退、央行非常規財政政策以及隨之而來的通貨膨脹和貨幣貶值背景下,比特幣被證明是唯一的本位貨幣.

1900/1/1 0:00:00
ads