本文來自BlockSec,Odaily星球日報經授權轉載。8月12日,根據DAOMaker電報群用戶反饋,該項目疑似遭到黑客攻擊,價值700萬美元的USDC被黑客提取至未知地址。BlockSec團隊經過分析后發現,該事件的起因是私鑰泄露或者內部人士所為。攻擊過程
根據我們的交易分析系統我們發現,攻擊的過程非常簡單。攻擊交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者錢包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻擊者合約;0x0eba461d9829c4e464a68d4857350476cfb6f559:中間人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合約創建者。
The Block創始人:V神應利用個人影響監管機構建立一個非認可公眾參與的代幣框架:金色財經報道,The Block創始人Mike Dudas在社交媒體上評論V神推特稱,hi,vitalik,與其破壞整個DeFi和應用層加密資產類別的價值,不如利用你的巨大力量影響監管機構和政客,建立一個允許價值累積*和*非認可公眾參與的代幣框架。
對此,以太坊創始人Vitalik Buterin回復稱,許多DeFi項目都有不基于“治理權”的合理估值敘事。我的意思是,即使是BTC和ETH也是如此![2022/11/30 21:12:23]
GoldenTree聘請BlockTower高管Avi Felman擔任數字資產交易主管:3月8日消息,資產管理公司GoldenTree周二表示,已聘請最近擔任BlockTower Capital聯席投資組合經理的Avi Felman擔任其數字資產交易部門的新主管。
在BlockTower之前,Felman曾在Wave Financial、CryptoAM和Ledger Capital擔任職務。
據了解,GoldenTree管理著近470億美元的資產,最近幾個月參與了幾輪加密貨幣融資,其中包括質押公司Stader Labs的1250萬美元融資,以及基礎設施公司Qredo的8000萬美元融資。(The Block)[2022/3/9 13:45:15]
攻擊者XXX調用受害者錢包合約的函數查詢用戶余額,然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作,因此通常需要對調用者的身份做校驗。我們通過分析發現,攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。這里的問題就變成為什么攻擊者能具有相應的權限?通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
足球運動員“小羅”擔任Graph Blockchain旗下NFT子公司New World的全球大使:2月14日消息,加拿大上市區塊鏈公司Graph Blockchain宣布其全資子公司New World已與知名足球運動員羅納爾迪尼奧(“小羅”)達成合作,將在全球范圍內正式推出增強現實(AR)NFT平臺。作為全球大使,羅納爾迪尼奧的伙伴關系包括為球迷和支持者創造獨家活動和NFT體驗。
作為與羅納爾迪尼奧達成的協議的一部分,Graph Blockchain同意發行400萬股普通股,但須經監管部門批準,包括來自CSE的批準。(雅虎財經 )[2022/2/14 9:51:07]
聲音 | Blockstream首席戰略官:開發量子計算機的同時 ASIC芯片也會迎頭趕上:在正在舉行的萊特幣峰會上,Blockstream首席戰略官Samson Mow就谷歌研究人員提出的“量子霸權理論”發表評論稱,“在開發量子計算機的時候,ASIC芯片也會得到發展。”此外,如果需要的話,甚至比特幣的協議也可以通過一個軟分支來實現協議變更,從而實現量子抵抗。因此,技術專家們采取這些措施時,不會引起市場或比特幣效用的任何變化。[2019/10/29]
0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限,那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢?繼續追蹤,我們發現它的admin權限是由另外一筆交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。然而我們發現,受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。
總結一下,整個的流程是:
那問題就來了,為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢?這里有兩個可能性。第一個0x054e是內鬼,第二個就是私鑰泄露。其他
另外一個有趣的點就是攻擊者的合約是開源的,代碼簡單易懂,可以作為學習合約開發的啟蒙教程。
但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用?最后
最近區塊鏈安全接連出現大的安全事件,包括PopsicleFinance雙花攻擊分析和PolyNetwork攻擊關鍵步驟深度解析,損失在幾百萬美金到數億美金之間。項目方如何提高安全意識,保護好代碼安全和資產安全,正是BlockSec團隊希望和社區一起能解決的問題。只有把安全做好,DeFi的生態才能更健康有序發展。
Tags:BLOCKLOCKLOCBLOblockchain錢包appBlockchaincryptobankBlockMeshBlockearth
至少在6年時間里,受表情包啟發而創建的狗狗幣從一個玩笑變成了后來加密社區用來打賞的工具,人們喜歡它,因為它的meme流行質和草根性.
1900/1/1 0:00:00文章來源:AxiePulse文章翻譯:Blockunicorn Axie經濟目前依賴于在Axies需求的驅動下將ETH存入生態系統。當前的Axie需求可能主要由新玩家推動.
1900/1/1 0:00:008月17日,TikTok宣布與去中心化流媒體音樂平臺Audius達成合作。或許,Audius將因此成為用戶基數最大的區塊鏈應用.
1900/1/1 0:00:00撰文:ForesightVentures概要:BTC表現依舊強勢,短期有望突破50000點整數大關。BiSwap和SpookySwap的TVL增量明顯。Aave的USDT借貸利率出現大幅度上升.
1900/1/1 0:00:00Odaily星球日報消息,新加坡時間2021年8月30日20:00,Polygon第一次全球GrantsHackathon在DoraHacks開發者平臺HackerLink正式開啟項目提交通道.
1900/1/1 0:00:00NFT、鏈上衍生品、區塊鏈游戲等新熱點一個接一個來襲,推著DeFi進入了又一個Summer。根據DeFiLlama的數據,8月31日,整個DeFi生態的總鎖倉價值達到1537億美元,已回升至5月.
1900/1/1 0:00:00