比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Pol幣 > Info

Paid Network 1.6 億美元鑄幣疑云,慢霧拆解攻擊細節_CEL

Author:

Time:1900/1/1 0:00:00

原文標題:《鑄幣疑云——?PaidNetwork?被盜細節分析》

撰文:慢霧安全團隊

據消息,以太坊DApp項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

Aave Grants:更新Aave Grants DAO的提議正在進行快照投票:金色財經報道,Aave Grants在社交媒體上稱,我們更新Aave Grants DAO的提議正在進行快照投票。這是Aave Grants的第四項提案,旨在通過資助有才華的建設者和培養 Aave 的文化來推動發展、吸引最佳貢獻者并確保 Aave 的長期發展。[2023/1/8 11:00:43]

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

Bybit將于9月15日停止在巴西提供加密衍生品交易服務:9月15日消息,新加坡加密貨幣交易所Bybit將于9月15日停止在巴西提供加密期貨和期權等衍生品交易服務,并表示它正在與巴西證券委員會(CVM)進行談判,建議用戶管理他們的頭寸或訂單,稱不會暗示對用戶存入的衍生品資產進行任何形式的凍結。(CoinDesk)[2022/9/15 6:57:31]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

法院文件顯示Celsius資產負債表缺口約為12億美元:金色財經消息,根據Celsius咨詢合作伙伴Kirkland&Ellis提交的一份新的法庭文件,加密借貸平臺Celsius Network的資產負債表存在11.9億美元的缺口。該文件顯示,Celsius持有43億美元的資產和55億美元的負債。在其資產清單中,Celsius聲稱其CEL代幣中約有6億美元。然而該文件中指出,截至7月12日,CEL的總市值約為1.703億美元。[2022/7/15 2:14:35]

但是,事實真是如此嗎?

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約為開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:CELAAVEAVEINTcelo幣值得投資嗎aave幣挖礦教程Save Ralphpointpay幣最新消息

Pol幣
“大獎章”來了 以太坊2.0還會遠嗎?_EDA

“經過與客戶端團隊的討論,下一個多客戶端測試網的最快上線時間將是8月4日。”  以太坊2.0協調員丹尼·瑞安在Discord的測試網討論板上發布了這則消息.

1900/1/1 0:00:00
余恒說幣:比特幣價格晚間仍有新高? 以太坊漲勢有所收斂_VEST

  BTC   比特幣價格日內持續攀升,截至目前吞沒近三天的跌幅,整體漲勢強勁。4小時圖上,價格午間回測布林中軌附近后迅速反彈,帶動短期均線金叉放量,進一步加劇上漲力度,目前已經打破51000關.

1900/1/1 0:00:00
NFT周報:OpenSea 2月交易額增長11倍,Banksy作品被燒毀并將鑄造為NFT_ECT

引言:NFTInsider由WHALE社區、BeepCrypto、CryptoArt.Ai聯合出品,濃縮每周NFT新聞,為大家帶來關于NFT最全面、最新鮮、最有價值的訊息.

1900/1/1 0:00:00
V神說的跨Rollup DEX是什么?_ROL

當人們還在思考用rollup的方式緩解Layer1擁堵的時候,Vitalik已經在考慮rollup之間怎么做交互.

1900/1/1 0:00:00
2021Q1礦業研究報告:越來越多上市公司進入挖礦產業_TOKEN

要點總結 1.?產能有限?自2020年1月,比特幣價格暴漲超過600%;但算力漲幅最高僅為約55%。由于礦機產能有限,相較于價格上漲,比特幣算力增長速度較為緩慢.

1900/1/1 0:00:00
程博說幣:3-7 比特幣精準布局 多空獲益雙殺斬獲3239個點位 抓住趨勢 才能滿滿獲益_ARB

看得遠才能走的遠,格局決定結局,跳出市場看走勢。作為當局者或交易者,我們不但要看清或把握好當下,更重要的?是洞悉市場把握脈搏引領未來!這個市場里向來都是先知先覺者吃肉,后知后覺者喝湯,不知不覺者.

1900/1/1 0:00:00
ads