比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > NEAR > Info

鑄幣疑云——Paid Network 被盜細節分析_VAD

Author:

Time:1900/1/1 0:00:00

鑄幣疑云——PaidNetwork被盜細節分析

慢霧科技

剛剛

11

據消息,以太坊DApp項目PaidNetwork遭受攻擊。攻擊者通過合約漏洞鑄造近1.6億美元的PAID代幣,并獲利2000ETH(約300萬美元)。慢霧安全團隊在第一時間跟進并分析,現在將細節分析給大家參考。

攻擊細節分析

TrueUSD:正努力恢復Prime Trust上的TUSD鑄幣:6月13日消息,美元穩定幣TrueUSD表示,團隊正在努力恢復Prime Trust上的TUSD鑄幣,將在有新進展時立即提供更新。

此前報道,6月10日TrueUSD宣布暫停通過PrimeTrust鑄造TUSD,待進一步通知。[2023/6/13 21:33:47]

以上是整個攻擊過程的調用流程細節。

CertiK:@porsches_eth為虛假賬號,Porsche團隊暫無官方鑄幣計劃:金色財經報道,據CertiK監測,@porsches_eth為冒充Porsche項目官方推特(@eth_porsche)的虛假賬戶。Porsche團隊已澄清目前沒有進一步的官方鑄幣計劃。[2023/1/28 11:34:09]

可以看到整個攻擊過程非常的簡單,攻擊者通過調用代理合約中函數簽名為(0x40c10f19)的這個函數,然后就結束了整個攻擊流程。由于這個函數簽名未知,我們需要查閱這個函數簽名對應的函數是什么。

Vader將關閉穩定幣協議Vader Protocol,已暫停該應用程序的鑄幣功能:12月30日,據Vader開發者公告,生產穩定幣Vader Protocol US Dollar (USDV) 的應用程序將被關閉,正在關閉Vader Protocol,現持有VADER和USDV代幣的用戶,請訪問web應用程序兌換金庫資產。

據悉,Vader Protocol是一種算法穩定幣網絡,類似于Terra網絡,目前Vader團隊已暫停該應用程序的鑄幣功能,防止用戶遭遇其穩定幣也脫鉤時可能出現的任何問題。目前,團隊已暫停銷毀功能,開發人員創建一個兌換應用程序來分發應用程序的剩余金庫,該兌換應用程序計劃將保留到6月。[2022/12/30 22:15:51]

通過查閱這個函數簽名,我們發現這個簽名對應的正是mint函數。也就是說,攻擊者直接調用了mint函數后就結束了攻擊過程。那么到這里,我們似乎可以得出一個mint函數未鑒權導致任意鑄幣的漏洞了。通過Etherscan的代幣轉移過程分析,似乎也能佐證這個猜想。

Kava社區計劃為USDX鑄幣者增加HBTC獎勵 增至每周6.7萬枚KAVA:3月9日消息,Kava Labs官方發推宣布,社區已正式開始針對提案38的投票。該提案計劃為USDX鑄幣者增加HBTC獎勵。ukava-a激勵措施為每周4.8萬枚KAVA,該提案將HBTC獎勵提升至每周6.7萬枚KAVA。[2021/3/9 18:27:42]

但是,事實真是如此嗎?

為了驗證未鑒權任意鑄幣的這個想法,我們需要分析合約的具體邏輯。由于PaidNetwork使用的是合約可升級模型,所以我們要分析具體的邏輯合約(0xb8...9c7)。但是在Etherscan上查詢的時候,我們竟然發現該邏輯合約沒有開源。

這個時候,為了一探究竟,我們只能使用反編譯對合約的邏輯進行解碼了。通過Etherscan自帶的反編譯工具,可以直接對未開源合約進行反編譯。在反編譯后,我們卻發現了一個驚人的事實:

通過反編譯,我們不難發現,合約的mint函數是存在鑒權的,而這個地址,正是攻擊者地址(0x187...65be)。那么為什么一個存在鑒權的函數會被盜呢?由于合約未開源,無法查看更具體的邏輯,只能基于現有的情況分析。我們分析可能是地址(0x187...65be)私鑰被盜,或者是其他原因,導致攻擊者直接調用mint函數進行任意鑄幣。

總結

本次攻擊過程雖然簡單,但是經過細節分析后卻有了驚人的發現。同時這次的攻擊也再次對權限過大問題敲響了警鐘。如果這次的mint函數給到的鑒權是一個多簽名地址或是使用其他方法分散權限,那么此次攻擊就不會發生。

參考鏈接:

攻擊交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0.htm

區塊鏈

盜幣

本文來源:

慢霧科技

文章作者:慢霧安全團隊

我要糾錯

聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。

提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。

金色財經>區塊鏈>鑄幣疑云——PaidNetwork被盜細節分析

Tags:USDRSCVADETHtrustwallet如何添加usdtJRSCvader幣哪個國家ETH Max Yield Index

NEAR
區塊鏈周報:多份兩會提案涉及區塊鏈和數字貨幣,46個相關項目上周獲投_加密貨幣

目錄 一、一周縱覽? 1、國內動態? 2、國際動態? 二、投融資概況? 三、國內外行業要聞? 1、國內政策導向? 2、國內產業動態? 3、國際監管動態 4、國際產業動態? 一周縱覽 國內動態1、.

1900/1/1 0:00:00
金色趨勢丨BTC牛市這一黃金規律有望再次上演_APP

上圖為BTC2010-2020年至今的長期走勢,通過研究可以發現,以三次產量減半為時間分割點,從之前每一輪熊市的最低點一直延伸至各自周期內的產量減半時間點這一段時間周期.

1900/1/1 0:00:00
數讀“打新”玩法:IDO收益約10倍,還有這些關鍵詞需掌握_POL

分析師|?Carol?編輯|Tong?出品|PANews一直以來,在A股市場中,“打新”都是獲得高收益的重要手段之一.

1900/1/1 0:00:00
金色說明書 | OKExChain測試網項目聯合公測活動(第一期)_TPS

OKExChainEVM上線在即,為更好的完善公鏈性能、提升用戶體驗,OKExChain特聯合20個項目方共同邀請社區用戶進行大規模公測,并提供2000枚OKT作為公測參與的獎勵.

1900/1/1 0:00:00
3.5午間行情:盤面搖搖欲墜 下行風險大_BTC

文章系金色財經專欄作者牛七的區塊鏈分析記供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.

1900/1/1 0:00:00
巴比特首發丨Liquidity Targeting:如何設計更加高效的流動性挖礦計劃?_CUR

介紹 過去一年里,在加密貨幣行業出現的許多新趨勢中,流動性挖礦無疑是最重要的趨勢之一。在2019年,Synthetix成為首個成功啟動流動性挖礦計劃的大型加密協議.

1900/1/1 0:00:00
ads