欧易下载

欧易交易所
欧易交易所APP官网下载

欧易交易所(OKX)是最老牌的比特、莱特、以太交易所,欧易交易平台支持OTC法币交易,支持微信、支付宝和银行卡转账,安全方便快捷,欧易下载官方APP链接。

首发 | 不借助漏洞的攻击?True Seigniorage Dollar攻击事件分析

本文由CertiK原创,授权金色财经首发。

北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目True Seigniorage Dollar发生新型攻击事件,总损失高达约1.66万美金。

此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。

整个攻击流程如下:

① 攻击者

地址: 

0x50f753c5932b18e9ca28362cf0df725142fa6376

通过低价收购大量True Seigniorage Dollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。

图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息

② 在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。

奇幻游戏Orbitau宣布获NGC Ventures投资:12月21日消息,回合制战斗、奇幻社交游戏 Orbitau 宣布获得 NGC Ventures 投资,金额未披露。据称,Orbitau灵感来源于北欧神话和七宗罪。[2021/12/21 7:53:58]

恶意代币实现合约地址:

0x26888ff41d05ed753ea6443b02ada82031d3b9fb

图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约

图3:攻击者利用所持地址之一建立恶意代币实现合约

③ 当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币

④ 同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。

通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。

图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法

图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币

⑤ 当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。

图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD

此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。

攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果, 从而保证其恶意提案被通过。

虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。

CertiK安全技术团队建议:

从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

欧易交易所

以太坊嫌以太坊上造NFT太贵?那就来无Gas的Ergo

Ergo落地应用之NFT市场:Ergo 拍卖行 作者:Guy Brandon Ergo公链平台允许用户安全而又轻松地出售Ergo的NFT,这是不断发展的DeFi运动的一次重大发展。 非同质化代币(Non-fungible token,简称NFT)并不是全新事物,但是随着DeFi领域的崛起,NFT变得越来越重要,并且找到了新的用例。

XMR金色观察|Eth2.0讨论的“最小化合并”方案是什么?

金色财经讯,3月12日消息,以太坊核心开发者Mikhail Kalinin在以太坊2.0技术规范中发表了关于将以太坊1.0合并至2.0的讨论稿(WIP),他表示和DannyRyan在最近的一次以太坊2.0会议中讨论了该话题,双方正在制定技术规范,以实现“最小化合并”的方案。

DOGEDOT平行链插槽拍卖背后的借贷市场

最近,波卡的RococoV1测试网宣布重启成功,如果一切运行平稳,那么平行链插槽拍卖就会真正开拍。在这平行链插槽拍卖的关键时刻,波卡生态中的很多项目方已经迫不及待,包括Bifrost、ChainX、Crust、Phala等早已摩拳擦掌,可以预见,有限的席位决定了平行链插槽拍卖的开启将上演一场资金竞赛。

UNI“柏林” 升级 我们该做什么?

原文标题:引介 | “柏林” 升级内容概览 继 “缪尔冰川” 升级之后,以太坊区块链计划实施 “柏林” 升级。根据其规范,预计以太坊主网区块链将于 2021 年 4 月 10 日在区块高度 12_244_000 处激活。具体时间可能因出块时间的波动而提前或推迟。 自上一次网络升级以来已有 15 个月,我们在这期间取得了许多进展。

[0:5ms0-0:515ms