比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 火星幣 > Info

鑄幣疑云 —— Paid Network 被盜細節分析_MIN

Author:

Time:1900/1/1 0:00:00

據消息,以太坊DApp項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

Cover Protocol新提案:將COVER分配者的鑄幣權移交至團隊multisig:1月18日,DeFi保險協議Cover Protocol在推特上表示,社區成員發起新提案,提議移除COVER分配者的鑄幣權,并轉交給團隊multisig。投票現已開啟。

注:這意味著該提案一旦通過,就沒有更多的用戶可以申領他們的COVER。[2021/1/18 16:26:19]

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

以太坊開發人員:MITH Cash代幣合約存在無限鑄幣風險:以太坊開發人員Roman Semenov發推稱,看起來所有的MITH Cash代幣都有一個未經驗證的所有者合約,該合約可以鑄造無限數量的代幣。

從技術上講,代幣的操作員地址是0x024976ed0e0e166f5f9f7e696f456798441352fe,但它完全由其所有者合約(0xc2395b979432d2c2125f357e46c4ec94baa6d35b)通過遷移功能控制。既然該項目吹噓其10億美元的總鎖倉價值,應該盡快去驗證合約,以確保沒有后門。需要澄清的是,這不應該影響其他鎖定在耕作池中的代幣,只影響他們自己的現金/份額/債券代幣。

據此前報道,盡管項目合約未經審計,MITH Cash在發布后五分鐘內總鎖倉價值(TVL)超過1億美元,兩個小時內達到4億美元,然后在8.5小時內達到10億美元。據悉,Mithril Cash是一種新算法穩定幣。[2020/12/31 16:09:23]

動態 | 英國政府拒絕批準英國皇家鑄幣局的加密貨幣:據CCN消息,英國財政部拒絕批準Mint計劃發行價值高達10億美元的“皇家鑄幣黃金”(RMG)代幣。此前英國皇家鑄幣局,即負責向英國提供所有實體流通貨幣的機構,已經推出了自己的加密貨幣。這種加密貨幣名為皇家鑄幣局黃金(Royal Mint Gold,RMG)。[2018/10/25]

通過查閱這個函數簽名,我們發現這個簽名對應的正是mint函數。也就是說,攻擊者直接調用了mint函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個mint函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

但是,事實真是如此嗎?

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的mint函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用mint函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:INTMINMINTETHcointiger下載gemini為什么叫葛大爺MINTIVETH2

火星幣
Meme 反詐指南:兩個工具搞定代幣分析_USD

$PEPE的成功引發了新一波的meme幣浪潮,但是相比于一路暴漲,RUG和垃圾幣才是常態。如何在投資meme幣時避免這樣的情況呢?今天這篇指南可能會對你有幫助.

1900/1/1 0:00:00
推特新任CEO是什么來頭?_ITT

今日,馬斯克在社交媒體宣布即將為twitter聘請一位新任CEO,而自己將成為執行主席兼CTO,負責監督產品、軟件和系統等,字里行間不難看出twitter新任CEO是一位女性.

1900/1/1 0:00:00
觀點 | 元宇宙并不僅僅只是游戲_ETF

“元宇宙”概念在2021年太火了,以至于現在朋友之間交流的話題大部分都在討論元宇宙,原來區塊鏈交流群、投資交流群、項目交流群等都在推薦或討論元宇宙相關項目,但幾乎無一例外都是“元宇宙游戲”.

1900/1/1 0:00:00
盤點比特幣生態頭部NFT:哪些是“潛力股”?_COI

原文作者:Nancy,PANews伴隨著?BRC-20?概念爆火出圈,相關?Token?總市值一路創新高的同時,也帶動了比特幣?NFT?生態的發展.

1900/1/1 0:00:00
金色晨訊 | 5月10日隔夜重要動態一覽_比特幣

21:00-7:00關鍵詞:BRC-20、SEC、Ordinals、PayPal、Blockworks1.SEC的托管提案目前正面臨著對未來潛在規則的廣泛批評;2.

1900/1/1 0:00:00
《元宇宙可信數字資產應用參考》重磅發布 專業解讀來了_元宇宙

5月10日,在首屆“全國元宇宙創新發展研究應用發布會”上,由國家新聞出版署批準設立的出版業科技與標準綜合重點實驗室區塊鏈版權應用研究中心主編的《元宇宙可信數字資產應用參考》正式發布!這是公認的業.

1900/1/1 0:00:00
ads