北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
CertiK:有黑客在ElseVerse World項目Discord服務器中發布釣魚鏈接:金色財經報道,據CertiK官方推特發布消息稱,有黑客在ElseVerse World項目Discord服務器中發布釣魚鏈接。請勿點擊鏈接獲批準任何交易。[2023/7/19 11:03:42]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
CertiK:ALG代幣跌幅超過94%,需警惕風險:5月30日消息,CertiK Alert發推稱,此前曾在5月17日提醒社區ALG代幣暴跌超過99%。5月19日,新ALG代幣被創建,今天的跌幅超過94%,CertiK提醒社區警惕風險。合約創建者地址為0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
月亮鼠Smrat已通過CERTIK審計:據官方消息,Smrat已通過CERTIK審計,獲得83分排名73。Dao自治社區投票通過。目前SMRAT持幣地址突破已87000個,用戶可以通過MEME+NFT+持有SMRAT獲得分紅免質押挖礦BNB。同時在今日DAO自治社區上幣投票通過,已通過上線中心化交易所的提議,目前已上線pancakeSwap。
據了解,MoonRat是一個社區驅動的、公平啟動的DeFi項目,建立在幣安智能鏈BSC上。每筆交易中都有三個功能:映射、LP獲取以及銷毀。投資者持有SMRAT就可以賺取BNB。[2021/5/16 22:08:38]
Balancer發起投票欲將AMPL流動資金上限提高至300萬美元:11月26日,基于以太坊的去中心化金融協議Balancer官方宣布,將于北京時間11月27日7:00-11月30日7:00進行治理投票,投票表決內容為將AMPL流動資金上限從100萬美元提高到300萬美元。[2020/11/26 22:11:05]
②攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①修改了邏輯合約的存儲結構:
②限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
據官方消息,截至7月27日,2022波場黑客松大賽第二季項目提交已正式結束!在過去兩個多月時間里,全球范圍內共有1830個項目組報名參與.
1900/1/1 0:00:006月1日,據區塊鏈瀏覽器TRONSCAN數據,波場TRON總質押量為12,082,960,868美元,正式突破120億美元.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,8月21日,波場TRON總質押為13,734,579,889美金,超過137億美金,創近3個月新高.
1900/1/1 0:00:00TRONSCAN最新數據顯示,7月3日至7月8日,波場TRON賬戶新增超100萬,總數達到102,037,333,正式突破1.02億.
1900/1/1 0:00:00SwooshNFT真的為耐克創造新業績了嗎?本周周刊將為您解答。與此同時,Solana將推出一款Crypto啤酒。Crypto巨頭公司AnimocaBrands將為其日本部門籌集一筆巨額資金.
1900/1/1 0:00:00過去的一周,波場TRON項目進展順利,為滿足波場TRON全球社區愛好者閱讀,本周周報共分為14種語言,請您選擇閱讀.
1900/1/1 0:00:00