以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 火必 > Info

BlockSec:DAO Maker 700萬美元被盜事件解析_BLOCK:LOCK

Author:

Time:1900/1/1 0:00:00

本文來自BlockSec,Odaily星球日報經授權轉載。8月12日,根據DAOMaker電報群用戶反饋,該項目疑似遭到黑客攻擊,價值700萬美元的USDC被黑客提取至未知地址。BlockSec團隊經過分析后發現,該事件的起因是私鑰泄露或者內部人士所為。攻擊過程

根據我們的交易分析系統我們發現,攻擊的過程非常簡單。攻擊交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者錢包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻擊者合約;0x0eba461d9829c4e464a68d4857350476cfb6f559:中間人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合約創建者。

DeFi交易加速工具bloXroute將上線Solana并推出Serum API服務:9月20日消息,DeFi交易加速工具bloXroute宣布將發布針對Solana網絡的第一個服務Serum API。該API用于Serum DEX,具有快速傳輸、降低進入成本,和提高性能等優勢。

據悉,bloXroute是一家區塊鏈基礎設施提供商,為以太坊、Polygon和BNB Chain等公鏈的DeFi交易者服務。今年4月份bloXroute完成7000萬美元B輪融資,軟銀愿景領投。[2022/9/20 7:08:23]

Blockstream首席執行官:反對一切形式的鏈上治理:比特幣基礎設施開發商Blockstream首席執行官Adam Back在接受采訪時表示,其堅決反對一切形式的鏈上治理( on-chain governance),Adam將此稱為PoS協議的通病,因為這會給一些中心化的組織可乘之機,合力控制網絡。(Cointelegraph)[2020/9/12]

攻擊者XXX調用受害者錢包合約的函數查詢用戶余額,然后調用withdrawFromUser將錢轉到自己的賬戶。攻擊完成。由于轉賬的操作是一個特權操作,因此通常需要對調用者的身份做校驗。我們通過分析發現,攻擊者確實具有相應的權限來將受害者錢包中的余額轉出。這里的問題就變成為什么攻擊者能具有相應的權限?通過進一步分析我們發現另外一筆交易。這一筆交易將攻擊者賦予具有轉賬的權限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。

ConsenSys被指控竊取BlockCrushr的支付系統代碼:金色財經報道,基于以太坊的支付項目BlockCrushr周二提起訴訟,指控ConsenSys挪用了其知識產權,以創建與其形成競爭的支付系統。BlockCrushr的系統允許在以太坊區塊鏈上的定期交易(例如每月支付)。[2020/7/17]

0x0eba461d9829c4e464a68d4857350476cfb6f559調用受害者合約的grantRole函數將攻擊者0x1c93賦予具有轉賬的權限。但是能調用grantRole賦予其他賬戶權限,那么0x0eba4必須具有admin的權限。那么他的admin權限是誰授予的呢?繼續追蹤,我們發現它的admin權限是由另外一筆交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。

動態 | Block.one分享EOSIO戰略性愿景:據MEET.ONE 報道,今日 Block.one 發推分享在 B1June 上提出的 EOSIO 戰略性愿景,涉及以下四個方面:1.擴容性:容納更多 app 和用戶;2.優化開發者體驗,提供更好的工具,加速 app 發展;3.提供更安全便利的用戶體驗;4.致力于合約升級,給予企業發展更大的靈活性和可塑性。[2019/6/27]

0x054e71d5f096a0761dba7dbe5cec5e2bf898971c賬戶將0x0eba461d9829c4e464a68d4857350476cfb6f559賬戶設置成受害合約的admin。然而我們發現,受害合約是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c創建的。

總結一下,整個的流程是:

那問題就來了,為什么部署受害者合約的0x054e最后間接賦予了攻擊者能轉賬的特殊權限呢?這里有兩個可能性。第一個0x054e是內鬼,第二個就是私鑰泄露。其他

另外一個有趣的點就是攻擊者的合約是開源的,代碼簡單易懂,可以作為學習合約開發的啟蒙教程。

但是受害者的合約代碼是不開源的。這有點匪夷所思。不開源的錢包也有人敢用?最后

最近區塊鏈安全接連出現大的安全事件,包括PopsicleFinance雙花攻擊分析和PolyNetwork攻擊關鍵步驟深度解析,損失在幾百萬美金到數億美金之間。項目方如何提高安全意識,保護好代碼安全和資產安全,正是BlockSec團隊希望和社區一起能解決的問題。只有把安全做好,DeFi的生態才能更健康有序發展。

Tags:BLOBLOCKLOCKBLOCBlockearthNPICK BLOCKblockchainresearchandapplicationBLOCKv

火必
扎克伯格:元宇宙是互聯網的未來_BOOK:NFTBooks

采寫|biu編輯|靖宇來源|極客公園「元宇宙」這個詞正在成為「風口」。這是個29年前就存在的科幻概念,隨著最近幾年吸納了日臻成熟的AI、AR/VR、區塊鏈等技術成果后,突然間就占領了創業者和資本.

1900/1/1 0:00:00
深度解析FTX的四大擴張方向_加密貨幣:COI

本文為“FTX發展史”系列的第三部分,將一起探討FTX的未來發展版圖和新進展。第一部分:「風險大師」SBF:什么樣的性格使SBF能夠統治一家估值180億美元的公司?第二部分:與鯊魚共舞:巨頭FT.

1900/1/1 0:00:00
【Deribit期權市場播報】0831——成交上升_比特幣:GBT

收錄于話題#每日期權播報 播報數據由Greeks.live格致數據實驗室DataLab和Deribit官網提供。在經歷了比較平靜的周末后,期權市場再次活躍起來.

1900/1/1 0:00:00
解析這些最低價達20多萬美元的「石頭」如何席卷了NFT圈_ROC:ROCK2幣

今年夏天,NFT(非同質化代幣)的價格飆升,加密貨幣愛好者在從數字交易卡到虛擬財產等所有領域都投入了巨額資金。現在,他們又將「數字石頭」添加到了投資組合中.

1900/1/1 0:00:00
EIP-1559故障:探究倫敦硬分叉的背后_WEI:NFT

2021年8月5日,倫敦硬分叉見證了以太坊區塊鏈到目前為止最大的更新之一:EIP-1559,它改變了收費市場在網絡上的運作方式.

1900/1/1 0:00:00
ETH周報 | 擴容方案Optimism計劃向更多項目開放白名單;灰度目前持有300多萬枚以太坊(8.16~8.22)_TIM:IMI

作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 以太坊二層擴容方案Optimism宣布將向更多項目開放白名單資格,任何符合條件的項目可提交申請,可在兩周內獲得白名單資格.

1900/1/1 0:00:00
ads