以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析_TSD:CER

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析

整個攻擊流程如下:①攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。

Aave DAO決定換取200萬美元的Balancer LP代幣:金色財經報道,Aave社區批準了一項200萬美元的代幣交換,從DeFi協議Balancer購買BAL-WETH流動性池代幣。Aave DAO將使用財庫中價值140萬美元的31萬個BAL和價值60萬美元的326個WETH進行交換。

經批準的資產將轉換成B-80BAL-20WETH,將BAL代幣與以太坊配對。交換將在CowSwap的Milkman協議的幫助下進行。[2023/7/11 10:47:16]

Aave DAO與Balancer進行100萬美元的代幣互換:金色財經報道,在7月19日成功結束的鏈上投票之后,Aave社區與其他DeFi協議Balancer進行了 100萬美元的代幣交換。Aave DAO將16,907個AAVE代幣換成200,000個BAL代幣,基準利率為1 AAVE兌換11.892BAL。[2022/7/21 2:27:04]

圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息②在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb

IOST與Blocery達成深度合作 攜手變革韓國農產品流通領域:據IOST官網消息,近日IOST與Blocery達成深度合作。通過本次合作,IOST將與Blocery共同依托區塊鏈底層技術,攜手變革韓國農產品流通領域,打造更多鏈接線下的優質應用,加速促進全球生態落地。

Blocery是一個連接農產品的區塊鏈平臺,專注于解決現有食品供應鏈的流通問題,目前已在韓國獲得多項相關區塊鏈技術專利,2017年以來一直與韓國政府保持緊密合作。Blocery母公司EzFarm是一家的韓國領先的農業科技公司,年銷售額超1000萬。EzFarm將農業與IT技術相結合,提供智慧農場、農場生產管理、農產品直銷配送等平臺服務。[2020/11/18 21:12:57]

非托管投資組合經理Balancer已在以太坊主網啟動:金色財經報道,非托管投資組合經理Balancer已在以太坊主網上啟動。Balancer的白皮書首次發布于2019年9月。該項目實質上是Uniswap的自動做市商(AMM)模型的通用實現。[2020/4/1]

圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約③當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。

圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣④同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。

圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣⑤當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。

圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD總結

此次攻擊完全沒有利用任何TSD項目智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:CERBALTSDDAOsorceressprotocolDisbalancerRATSDAODAO Maker

火必交易所
ATH季,以太坊將突破2500刀?筆記本挖礦熱再現_比特幣:比特幣最高市值是多少億

編者按:本文來自 風火輪社區 ,作者:佩佩,Odaily星球日報經授權轉載。這屆牛市幣民必須懂的兩個英文縮寫,一個是 TVL :TotalValueLocked總鎖定價值,另一個就是 ATH :.

1900/1/1 0:00:00
以太坊“不需要”2.0_以太坊:TRD-DeFi

編者按:本文來自WebX實驗室Daily,Odaily星球日報經授權轉載。從DeFi熱潮盛行之時,擴容就一直是以太坊難以擺脫的魔咒,尤其是今年BSC等其他公鏈項目的成熟以及波卡平行鏈上線的有序推.

1900/1/1 0:00:00
HashKey研報:一文了解NFT全生態_HASH:NFT

編者按:本文來自HashKeyMe,作者:HashKeyCapitalResearch肖琪凡,星球日報經授權發布.

1900/1/1 0:00:00
DODO攻擊事件分析:搬起“石頭”,竟砸了自己的腳?_DOD:dodo幣創始人

一、事件概覽 北京時間2021年3月9日,根據輿情監測顯示,去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊.

1900/1/1 0:00:00
“女神節”福利!數字人民幣首次在上海開啟營銷活動_ENT:ceres幣價格

編者按:本文來自數字法幣研究社,作者:佘云峰,星球日報經授權發布。新民晚報訊:上海商場也能使用數字人民幣了!就在“女神節”期間的新世界城和新世界大丸百貨.

1900/1/1 0:00:00
3.12事件一年后我們該如何看待當下的數字貨幣發展趨勢?_比特幣:BTC

比特幣在經歷短期的暴跌之后,再次回歸58000美元大關。向60000美元發起沖擊,而這個日子,恰恰是去年被人們視為災難的“3.12”.

1900/1/1 0:00:00
ads