北京時間 2023 年 5 月 20 日,Tornado.Cash 遭受提案攻擊,攻擊者已獲利約 68 萬美元。
SharkTeam對此事件第一時間進行了技術分析,并總結了安全防范手段,希望后續項目可以引以為戒,共筑區塊鏈行業的安全防線。
攻擊者地址:
0x092123663804f8801b9b086b03B98D706f77bD59
0x592340957eBC9e4Afb0E9Af221d06fDDDF789de9
攻擊合約:
0xAF54612427d97489707332efe0b6290F129DbAcb
0x03ecf0d22f9ccd21144a7d492cf63b471916497a
CoinShares:上周數字資產投資產品凈流出680萬美元:金色財經報道,據CoinShares報告顯示,上周數字資產投資產品凈流出680萬美元。其中,比特幣投資產品凈流出1080萬美元,以太坊投資產品凈流入510萬美元,做空比特幣的投資產品凈流出350萬美元。[2023/2/13 12:04:24]
0x7dc86183274b28e9f1a100a0152dac975361353d(部署合約)
0xc503893b3e3c0c6b909222b45f2a3a259a52752d(假提案合約)
被攻擊合約:
0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce
發起提案交易:
0x34605f1d6463a48b818157f7b26d040f8dd329273702a0618e9e74fe350e6e0d
動態 | 加密友好銀行Cashaa將為印度用戶提供充提款服務:總部位于英國的加密友好銀行Cashaa已擴大其在印度的業務,從3月1日起,Cashaa將免費為印度用戶提供充值和提款服務。據悉,該平臺允許使用歐元、英鎊或印度盧比購買CAS代幣、ETH和BTC。(New.Bitcoin)[2020/2/26]
攻擊交易:
0x3274b6090685b842aca80b304a4dcee0f61ef8b6afee10b7c7533c32fb75486d
攻擊流程:
(1 )首先,攻擊者(0x08e80ecb)先向被攻擊合約(0x5efda50f)發起了一個提案,并宣稱此提案是16 號提案的補充
聲音 | CoinShares CSO:CFTC允許比特幣期貨發展 僅是為了降低價格:據AMBCrypto報道,CoinShares首席戰略官Meltem Demirors最近接受采訪時,將當前加密貨幣的監管情況與90年代的原始加密戰爭進行了比較。他表示,監管機構選擇執行法律的方式存在很多矛盾,這不是積極的情況。她還談到了CFTC前董事長J.Christopher Giancarlo的發言,他說CFTC允許比特幣期貨在2017年發展只是因為想降低比特幣的價格。“這是監管者挑選贏家或輸家的例子。那不是監管者的角色。”[2019/11/21]
(2 ) 但提案中實際上存在一個額外的自毀函數。
聲音 | ShapeShift首席執行官:Libra不是純加密貨幣 若對標法幣其價值將長期趨于零:6月19日,ShapeShift的CEO Erik Voorhees發推表示:1.可喜的是世界上最大的互聯網公司之一宣布發布加密貨幣,整個市場沸騰了!2.我知道,有些杠精會反駁道:“它不是加密貨幣!”但在我看來,它亦是亦不是,和PayPal或美元相比,Libra更貼近加密貨幣;但和比特幣或DAI相比,它又不完全是加密貨幣。3.我們需要細致分析Libra,它既不“創世紀”也不可怕。在加密市場往往缺失一個重要的論點:加密貨幣和區塊鏈都具有很多屬性,此弱彼強,這些都是可以理解的。4.將來市場上會有更多的區塊鏈項目來重塑整個金融系統。不同的加密貨幣適用于不同的市場。5. Libra將服務于不同的市場,或將成為去中心化金融構建的最大橋梁,在此之前是Coinbase擔當這一角色,Coinbase為加密貨幣的崛起發揮了不可或缺的作用。6.優點:Libra在區塊鏈上發行(基于HotStuff BFT),大部分重要的組成部分為開源的,可通過無許可的方式構建。不僅僅由美元支撐。Libra的去中心化可能是個循序漸進的過程,起初弱中心化,之后趨于去中心化,這是個好計劃,后期就看他們是否按照此路線發展。7.缺點:明顯地,Libra不是純加密貨幣,不要妄想Libra具有隱私性和無國界性,Libra在有些地方是不可交易的;監管部門或能對交易進行阻礙,用戶不要妄想無法防止的金融,在這一點上其他加密貨幣更有優勢,但臉書并不能創建一個監管無法阻礙的加密貨幣(至少在第一階段);Libra的穩定性由一籃子資產支撐,包括法幣、國債等,從長期來看,任何由法定貨幣支撐的加密貨幣,相較于其他資產,比特幣或黃金等支撐的加密貨幣較弱,如果Libra對標法幣,那么它的價值將長期趨于零,對標BTC等“真正的”加密貨幣處于劣勢。 ???在短期或中期內,這種由法定或債券支撐所帶來的相對穩定性將使Libra能夠捕獲市場份額,即數上千萬用戶。他們將加入去中心化的世界中來。由于Libra只是“部分”加密貨幣,因此在合規問題上的挑戰較其他加密貨幣發行商業較小,臉書積累的資源對其可能有助。我們需要用辯證的方式來期待Libra的誕生。[2019/6/19]
(3 )很遺憾的是社區并沒有發現此提案中存在問題,大多數成員都投票通過了這次提案。
(4 )攻擊者創建了很多個合約來實行代幣的轉移
(5 )攻擊者(0x08e80ecb)銷毀了提案合約(0xc503893b)和他的創建合約(0x7dc86183)。隨后在相同的地址重新部署了攻擊合約(0xc503893b)。
(6 )修改完提案合約后,攻擊者(0x08e80ecb)執行提案并將自己所控制的合約地址的代幣鎖定量都修改為10000 。
(7 )提案執行完成后,攻擊者(0x08e80ecb)將代幣轉移到自己的地址,并獲得被攻擊合約的所有權。
漏洞分析:
由于提案合約(0xc503893b)的創建合約(0x7dc86183)是通過creat 2 進行部署的,所以兩個合約銷毀之后,在同一地址上可以部署新的邏輯合約,并且提案執行是通過delegatecall的形式調用,攻擊合約可任意修改被攻擊合約中的值。
事件總結:
本次事件發生原因是由于社區在檢查提案時未能發現提案中存在的風險,并沒有認真核實提案合約的代碼是否存在安全漏洞。
針對本次攻擊事件,我們在開發過程中應遵循以下注意事項:
(1 )在進行提案設計時充分考慮提案機制的安全性并盡量降低提案被中心化控制的風險,可以考慮通過降低攻擊的價值,增加獲得投票權的成本,以及增加執行攻擊的成本等方式結合實際妥善設計。
(2 )在進行提案的投票前,社區應慎重檢查合約代碼是否有后門。
(3 )在提案通過前,可聯系第三方安全審計公司對合約邏輯代碼進行安全審計。
金色薦讀
金色財經 善歐巴
迪新財訊
Chainlink預言機
區塊律動BlockBeats
白話區塊鏈
金色早8點
Odaily星球日報
歐科云鏈
MarsBit
主題觀察 - BRC20 速覽 Ordinals 協議是一種為比特幣網絡的最小單位“聰”編排編號的機制,也是比特幣網絡的 NFT 協議.
1900/1/1 0:00:00原文作者:Biteye 核心貢獻者 JoJonas自 Uniswap 推出 V3 版本一年半有余,其所提出的「聚合流動性」概念已被用戶習以為常.
1900/1/1 0:00:00AragonDAO 的最新近況再度引發了加密行業對于 DAO 的熱烈關注。事情經過簡而言之便是 Aragon 官方領導層和社區對如何處置國庫資金產生了分歧,社區通過代幣投票希望能夠使用國庫資金回.
1900/1/1 0:00:00近期,Meme狂熱,也帶動各種“土狗幣”亂飛。不明真相的吃瓜群眾,跟著“沖土狗”,結果卻誤入“貔貅盤”,資金也無法取回。下圖則是近期一位“貔貅盤”受害者來找到Beosin求助.
1900/1/1 0:00:00你是否記得FTX 曾經有一項產品——允許其用戶在該平臺上交易合成的股權代幣(追蹤股票價格走勢的數字資產)。GameStop(GME)是最受歡迎的股權代幣之一.
1900/1/1 0:00:00金色財經記者 Jessy近日,NFT借貸項目ParaSpace出現了內部紛爭。經過梳理紛爭對立雙方的發言,金色財經記者發現,這是一場團隊內部的權力爭奪戰,但也暴露了團隊在運作過程中,確實也存在著.
1900/1/1 0:00:00