北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析?
整個攻擊流程如下:
①?攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息
Tracer DAO聯創發起社區提案,擬將協議Token置換為開發平臺Mycelium Token:8月8日消息,Tracer DAO聯合創始人Patrick McNab發起社區提案,擬將協議Token TCR 1:1置換為協議開發平臺Mycelium Token MYC,提案通過后,Mycelium團隊將把所有商業、產品和開發資源投入到Mycelium品牌下的Tracer產品擴展。
Mycelium是Tracer DAO的開發團隊,其業務還包括ChainLink節點運營和開發可編程聲譽服務平臺Reputation DAO等。[2022/8/8 12:09:32]
②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約
mStable:已為USDC和WETH Balancer池分配25萬枚MTA獎勵:基于以太坊的穩定幣聚合協議mStable發推稱,已經為USDC和WETH Balancer池分配25萬枚MTA生態系統獎勵。下周,新的MTA/mUSD Balancer池將在現有池的基礎上獲得7.5萬枚MTA的獎勵。[2020/7/20]
圖3:攻擊者利用所持地址之一建立惡意代幣實現合約
③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣
聲音 | 巴西醫生Bettina Grajcer:未來健康行業將使用區塊鏈技術共享醫療數據:據Cointelegraph 12月7日消息,巴西商人兼醫生Bettina Grajcer在最近發文表示,健康行業正經歷著獨特的轉型時刻,未來的趨勢將是使用區塊鏈等技術。她表示,將來應使用區塊鏈共享醫療數據。[2019/12/8]
④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法
圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣
⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD
智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。
尊敬的用戶: BiKi平臺即將首發上線YFW,并開放YFW/USDT交易對,具體時間如下:開放充值/交易時間:3月29日11:18? 幣種介紹: 代幣名稱:YFW 總量:210000 流通量:1.
1900/1/1 0:00:00意識到數字身份重要性的人肯定會越來越多,NFT或成為改變互聯網構想和交換價值的全新方式。撰文:PaulVeradittakit翻譯:盧江飛如今,似乎每個風險投資家都對NFT感到疑惑——數字藝術家.
1900/1/1 0:00:00?尊敬的用戶: 幣虎DeFi專區將于2021年3月15日18:00上線MLA/USDT交易對,具體時間如下:1.開放充幣:2021年3月15日14:00;2.開放交易:2021年3月15日18:.
1900/1/1 0:00:00本文由加密烏托邦原創,授權金色財經首發。在鎖倉量競爭激烈的當下,Curve達到了40億美金以上,且基本上全部是價值穩固的幣種。我們來看下Curve最近的更新,以及一段時間以來其基本面價值的變化.
1900/1/1 0:00:00周三,比特幣已經歷了兩輪較大幅度的回調,第一輪是在行情到達高點60600上方時承壓回落,經過一頓超大幅度的洗盤,最低下落至53200點位后收回;第二輪回調則是這波震蕩過后,反彈的力度減弱.
1900/1/1 0:00:00尊敬的社區用戶: 霍比特交易所將于2021年3月15日14:05(UTC8)?上線ALICE/USDT聚合交易對.
1900/1/1 0:00:00