BTC/HKD+0.87%
ETH/HKD+0.65%
LTC/HKD+0.66%
DOT/HKD+7.66%
ADA/HKD+15.44%
SOL/HKD+2.38%
XRP/HKD+29.45%
DOGE/US+4.7% 
北京時間2022年7月23日,CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊,損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置,然后提出并執行了一個惡意提案,導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。
大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。
攻擊步驟
①攻擊者調用Audius治理合約中的initialize()函數來修改配置,如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護,不應該被多次調用。
TwitterScan與愛奇藝旗下Web3項目Producer C達成合作:12月13日消息,TwitterScan宣布與Producer C達成合作。據悉,TwitterScan是Web3去中心化社會識別平臺,由MetaScan Labs創立,于今年9月完成456萬美元種子輪融資。Producer C(寄生熊貓)為愛奇藝孵化虛擬IP。[2022/12/14 21:42:35]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
Yuga Labs任命Spencer Tucker擔任該公司第一任首席游戲官:9月17日消息,BAYC母公司Yuga Labs宣布任命Spencer Tucker擔任該公司第一任首席游戲官,他將負責監督該公司旗下所有游戲計劃及互操作性元宇宙項目Otherside,推動社區增長。
據介紹,Spencer Tucker在游戲行業擁有大約二十年的從業經驗,擅長游戲開發、設計、UGC、Web3和創意社區參與等領域。[2022/9/17 7:03:30]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
CertiK:HEGE Coin已被確認為Rug Pull跑路項目:金色財經報道,據CertiK安全團隊監測,HEGE Coin已被確認為Rug Pull跑路項目。北京時間2022年6月12日5:54:05 , HEGE代幣的價格暴跌超過97%。目前損失金額約為43萬USC-USD (約為43萬美元)。[2022/6/13 4:21:40]
安全公司CertiK:名為Ghostmixer的項目存在高風險:4月8日消息,安全公司CertiK表示,名為Ghostmixer的項目存在高風險,該項目通過可疑金庫的存款不定期鑄造代幣。CertiK提醒不要與該項目的任何智能合約交互。[2021/4/8 19:57:59]
②攻擊者提交了惡意提案,該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻擊者執行了惡意提案,獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻擊者售出1850萬AUDIO代幣,獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全團隊在調查中,試圖找出攻擊者是如何多次調用initialize()的。
分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。
為了解決這個問題,Audius做出了相應調整:
①修改了邏輯合約的存儲結構:
②限制了可以調用initialize()函數的權限:
資金去向
攻擊者合約:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
約700ETH被轉移到攻擊者地址當中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
寫在最后
在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中,顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用,其攻擊事件相比其它小分類來說,數量較少,但往往具備更大的破壞性。
本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外,CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。
Tags:CERSCANAUDCANSoccer CryptoYFSCANaudius幣上市了嗎Hurricane Finance
據官方消息,8月18日,PSM新增支持USDC。 MakerDAO免除錨定穩定模塊PSM中USDC兌DAI費用:11月15日消息,去中心化穩定幣協議 MakerDAO 11 月 10 日將 PS.
1900/1/1 0:00:00本周摘要 -加密市場的冬天已經到來。像3AC這樣的頂級資管機構暴雷,他們能挺過這場危機嗎?-與加密貨幣相比,NFT市場保持強勁,這背后的原因是什么? 一、上周行業動態 上周加密市場最終還是沒能抵.
1900/1/1 0:00:00前言 北京時間2022年4月30日,知道創宇區塊鏈安全實驗室監測到BSC鏈上的bDollar項目遭到價格操縱攻擊,導致損失約73萬美元。知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析.
1900/1/1 0:00:00Bitfinex行動應用程序推出LNURL支付功能6月17日消息,據Bitfinex發推稱,我們正在幫助全球各地的人們通過LNURL支付獲得財務自由.
1900/1/1 0:00:00Meta宣布在Facebook和Instagram向所有美國用戶開放NFT功能。從今天開始,美國的社交媒體平臺將允許用戶連接Crypto錢包,并與個人賬號的好友和關注者分享NFT.
1900/1/1 0:00:00前言 以太坊進入后合并時代,PoS順利取代PoW,對網絡的可擴展性進行改進成為下一重點。Bulider終于可以在以太坊上構建面向億級消費者的Web3應用,L2、ZK等技術將進一步壓低使用成本,D.
1900/1/1 0:00:00
以太坊交易所
