北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①?攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
Lens Protocol Profiles地板價漲至0.0459ETH,24小時成交量增43%:2月8日,據OpenSea頁面信息,Web3社交協議handles Lens Protocol Profiles當前地板價漲至0.0459ETH,過去24小時共成交1562筆,增幅達43%。
此前報道,據Coinbase平臺加密資產界面顯示,用戶已可在該平臺查詢到Lens Protocol項目方Token LENS的相關頁面。[2023/2/8 11:54:38]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
FTX旗下衍生品交易平臺LedgerX正掛牌出售,Blockchain.com和Gemini或為潛在收購方:12月3日消息,FTX旗下衍生品交易平臺LedgerX正在尋求新的收購方,并已成功吸引到包括Blockchain.com和Gemini在內一眾潛在買家的興趣。據知情人士透露,除Blockchain.com和Gemini外,加密貨幣交易平臺Bitpanda和事件預測合約交易平臺Kalshi也對LedgerX表示有興趣,還有大約六個其他潛在買家,不排除可能會有更多潛在買家入局。此外,已有跡象表明談判正變得更加正式,至少有一些當事方已經為收購事宜簽署了相關保密協議。
截至11月17日提交的文件中顯示,LedgerX擁有約3.03億美元現金資產,目前尚不清楚此次出售可能會為FTX帶來多少收益。(彭博社)[2022/12/3 21:20:00]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
以太坊客戶端Hyperledger Besu發布熱修復版本v22.7.6:10月8日消息,企業級以太坊客戶端Hyperledger Besu發布熱修復版本v22.7.6,解決了鏈重組的錯誤,建議所有以太坊主網用戶升級。[2022/10/8 12:49:40]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
《徐州日報》發行江蘇首份新聞數字藏品:金色財經報道,據《徐州日報》官方公眾號,《徐州日報》將發行江蘇首份新聞數字藏品,《徐州日報》創刊號(3D版)將于6月27日晚上8點發售,限量發售5000份,這也是全國率先發行的一份地市級新聞數字藏品。徐報集團此次發售的新聞數字藏品,利用3D建模等技術對創刊號進行靈動呈現,數字藏品在區塊鏈上將擁有唯一的標識和權屬信息。[2022/6/27 1:33:14]
②?攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①?修改了邏輯合約的存儲結構:
②?限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
來源:金色財經
Tags:ETHAUDHTTTPSeth怎么轉到交易所Synth sAUDhtt幣價格https://etherscan.io
美聯儲會議紀要:幾乎所有官員預計2023年將有更多的利率上調:金色財經報道,美聯儲會議紀要顯示,官員們看到了經濟增長的下行風險。失業率上升的風險上升,一些人支持加息,但最終決定暫停.
1900/1/1 0:00:00指導單位:中國通信工業協會主辦單位:中國通信工業協會區塊鏈專業委員會 數字藏品標準項目工作組 承辦單位:南京鏈集信息科技有限公司澳大利亞四大銀行阻止向加密貨幣交易所付款:金色財經報道.
1900/1/1 0:00:00隨著市場行情的下行,能夠為投資者帶來穩健、可觀收益的投資品似乎越來越少。從DeFi板塊看,現有的流動性挖礦、Staking等所能為投資者提供的潛在收益,處于不斷的下降狀態,平均來看目前參與DeF.
1900/1/1 0:00:00以太坊計劃在2022年進行有史以來最大規模的網絡更新。因此,以太坊(ETH)正在完成期待已久的更新的最后一步,這將消除通過工作量證明(PoW)開采以太幣的做法.
1900/1/1 0:00:00與此同時,股東們似乎對特斯拉出售其75%的比特幣資產感到滿意。電動汽車制造商特斯拉公司表示,它實現了6400萬美元的利潤。比特幣出售其所持股份的75%后出售.
1900/1/1 0:00:00為何不建議重倉一只幣??除大餅和姨太之外,我不建議重倉其他幣,單只最多投1/5到1/3的倉位。也就是說,滿倉的話至少得持有3只以上的幣.
1900/1/1 0:00:00