比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

鑄幣疑云:Paid Network被盜細節分析_FTX

Author:

Time:1900/1/1 0:00:00

消息顯示,以太坊?DApp?項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000?ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

以上是整個攻擊過程的調用流程細節。

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

日本暗示將出臺更多Web3推廣政策:金色財經報道,日本首相岸田文雄表示,該國年度總體政策大綱包括考慮用戶保護的措施,同時還改善Web3代幣的使用環境和振興內容產業。

此前報道,日本首相表示,Web3是新型資本主義的一部分。[2023/7/25 15:57:05]

通過查閱這個函數簽名,我們發現這個簽名對應的正是?mint?函數。也就是說,攻擊者直接調用了?mint?函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個?mint?函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

0xe409 開頭地址向幣安轉入 150 萬枚 LINK:1月16日消息,據 0xScope Protocol 監測,今日 0xe409 開頭地址向幣安轉入 150 萬枚 LINK,該幣安充值地址在 2020 年和 2021 年期間收到了 Bitvavo 轉入的超 7000 萬枚 LINK,0xScope Protocol 猜測本次轉入的 LINK 依然來自 Bitvavo。[2023/1/16 11:14:31]

但是,事實真是如此嗎?

紐約時報:FTX基金會本身幾乎沒有監督:11月14日消息,《紐約時報》今日發文稱FTX破產給“有效利他主義”慈善運動碰上一層陰影,由于此前FTX慈善機構FTX Future Fund大多數慈善捐款都是“承諾”,因此大多數捐款都將無法兌現,其中ProPublica大約500萬美元的捐款有三分之二被擱置。此外,《紐約時報》指出,除了與SBF密切合作的圈子之外,FTX基金會本身幾乎沒有任何監督,其董事會由SBF旗下對沖基金Alameda Research負責人Caroline Ellison、FTX首席技術官Gary Wang和FTX工程總監Nishad Singh組成。(紐約時報)[2022/11/14 13:00:53]

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的?mint?函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用?mint?函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0

Tags:FTXMININTMINTPASTA Vault (NFTX)AIDOGEMINI價格MINTY價格alchemint-standards

火幣APP下載
余恒說幣:3月7日主流幣多幣種行情分析及布局思路_POLK

  BTC   比特幣價格日內開盤后開始上漲,目前最高已經打破隔日高點,回調走勢被打破。4小時圖上來看,價格目前破位布林中軌并企穩,整體走勢偏強,價格在破位后有回測中軌附近支撐的動能,日內布局建.

1900/1/1 0:00:00
3/7 比特幣策略精準命中完美斬獲2600個點利潤 要盈利 請拿出你的膽識_CRYP

這里沒有華麗的語言,只有實實在在的交易,以及明明郎朗的操作,市場只有一個方向,不是多頭也不是空頭,而是做對的方向.

1900/1/1 0:00:00
“王者歸來”之W去中心化金融生態體系新紀元第十二集_LLE

2021年3月5號下午兩點,“王者歸來”之W去中心化金融生態體系新紀元第十二集正式開始,在線觀看人數達101683人.

1900/1/1 0:00:00
大餅是否會一路下跌_SDC

BTC晚間行情分析: 跟著理智走,要有勇氣;跟著感覺走,就要有傾其所有的決心。從不曾放棄追求,從不愿放棄自己的所有,一路走下來,路過太多的風景,領略太多的是是非非,才漸漸明白,人活著不只為了自己.

1900/1/1 0:00:00
3/6 BTC行情分析和操作建議_ING

在一個該出手的地方沒有出手,頂多錯失利潤,但在一個不該出手的地方,管不住自己的手,那造成的將是不必要的損失,做交易,雖不能做到彈無虛發,但起碼不要打的太偏.

1900/1/1 0:00:00
百融云創迭代升級反欺詐技術 提升保險服務質效_ORION

保險公司業務的實質在于將未來可能發生的風險損失進行轉移,這就決定了保險公司從誕生之初就與風險并存,高風險是其行業特色.

1900/1/1 0:00:00
ads