以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

CertiK:不借助漏洞的攻擊?True Seigniorage Dollar攻擊事件分析_TSD:ceres幣價格趨勢

Author:

Time:1900/1/1 0:00:00

北京時間3月14日,CertiK安全技術團隊發現DeFi穩定幣項目TrueSeigniorageDollar發生新型攻擊事件,總損失高達約1.66萬美金。此次攻擊事件中攻擊者利用了去中心化組織(DAO)的機制原理,完成了一次不借助"漏洞"的攻擊。技術分析?

整個攻擊流程如下:

①?攻擊者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通過低價收購大量TrueSeigniorageDollar項目代幣TSD,然后利用大量的投票權,強行通過2號提案。圖1:TSD項目2號提案的目標(惡意)代幣實現合約以及提案人信息

Near Foundation負責人:將幫助Tracer等項目遷移至Near Protocol:5月23日消息,Near Foundation負責人Nicky Chalabi表示,在Terra陷入死亡螺旋后,像Tracer這樣的項目在尋求與其生態系統核心價值相一致的盟友,以支持其未來的路線圖。Tracer和Near使用相同的編程語言構建智能合約,這將進一步簡化遷移過程。此外,Near Protocol可以通過分配資源了解項目需求、與項目合作并解決任何問題等方式來幫助Tracer等項目控制損害程度。(cointelegraph)[2022/5/23 3:35:44]

②?在2號提案中,攻擊者提議并通過了將位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合約指向的實際TSD代幣合約地址,改為攻擊者通過另外地址0x2637d9055299651de5b705288e3525918a73567f部署的惡意代幣實現合約。惡意代幣實現合約地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb圖2:代理合約指向的代幣實現合約通過2號提案被替換為惡意代幣實現合約

VDOGE已通過Certik審計:據官方消息,VDOGE(復仇狗)已通過知名機構Certik審計。當前VDOGE持幣地址已超過34000個。VDOGE是由DOGE、SHIB等社區聯合發起的MEME項目 ,已向HTMoon持幣用戶進行隨機空投,同時官方宣布將對MDX持幣用戶開啟空投活動,持有HTMoon及MDX的用戶可以在鏈上查詢自己是否有獲得空投。

據悉,VDOGE是一個公平發行的MEME代幣,除捐贈給馬斯克和空投份額外全部用建池,復仇狗將于6月啟動DAO、NFT、復仇狗聯盟等計劃,希望能藉此構建連接全世界MEME玩家助力DOGE社區建設。VDOGE設置了10%的通縮機制,5%獎勵所有持幣者,5%獎勵LP。

?[2021/5/18 22:15:52]

圖3:攻擊者利用所持地址之一建立惡意代幣實現合約

Balancer 2.0版本將降低DeFi交易的Gas費用:金色財經報道,去中心化交易協議Balancer將發布2.0版本,該版本將被委托的所有資產放在一個大的保險庫中。這將極大地降低去中心化金融(DeFi)交易的Gas費用,因為用戶可以根據需要隨意交易,只需要為進入和離開Balancer支付Gas費用。[2021/2/3 18:44:48]

③?當2號提案被通過后,攻擊者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,實施確定提案中包含的新代幣實現合約地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。圖4:攻擊者利用所持地址之一確定2號提案,并向所持另一地址鑄造巨額TSD代幣

④?同時,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的惡意合約中的initialize()方法也會在升級過程中被調用。通過反編譯惡意合約,可以得知惡意合約的initialize()方法會將約116億枚TSD鑄造給攻擊者的另外一個地址0x2637d9055299651de5b705288e3525918a73567f。圖5:代理合約合約在升級代幣實現合約的時候會同時調用initialize()方法

圖6:反編譯惡意代幣實現合約中initialize()方法向攻擊者地址鑄造代幣

⑤?當以上攻擊步驟完成后,攻擊者將所得TSD代幣轉換成BUSD,獲利離場。圖7:攻擊者將116億TSD代幣通過PancakeSwap交易為BUSD

智能合約或Dapp的漏洞。攻擊者通過對DAO機制的了解,攻擊者低價持續的購入TSD,利用項目投資者由于已經無法從項目中獲利后紛紛解綁(unbond)所持代幣之后無法再對提案進行投票的機制,并考慮到項目方擁有非常低的投票權比例,從而以絕對優勢"綁架"了2號提案的治理結果,從而保證其惡意提案被通過。雖然整個攻擊最后是以植入后門的惡意合約完成的,但是整個實施過程中,DAO機制是完成該次攻擊的主要原因。CertiK安全技術團隊建議:從DAO機制出發,項目方應擁有能夠保證提案治理不被"綁架"的投票權,才能夠避免此次攻擊事件再次發生。

Tags:CERTSDDOGEDOGceres幣價格趨勢TSD幣babydoge幣每天分紅多少dogeking幣合約地址

比特幣價格實時行情
關于WBF上線AYC的公告_TPS:htt幣價格今日行情

尊敬的用戶: WBF即將在主板區上線AYC/USDT交易對,具體上線時間如下:充值時間:2021/3/1616:00提幣時間:2021/3/1715:00交易時間:2021/3/1709:09.

1900/1/1 0:00:00
Filecoin過去24小時波幅20%,FIL牛市加速_FIL:spacecoin幣最新消息

周一加密市場整體呈上漲趨勢。比特幣呈V型走勢,反彈至5.1萬美元上方;Filecoin呈V型走勢,小幅上漲。周二加密市場繼續上漲。比特幣突破5.4萬美元關口;Filecoin上漲2.3%.

1900/1/1 0:00:00
ZNN.COM品牌升級讓交易更加得心應手_比特幣:ZNN價格

2021年隨著加密數字貨幣行業異常火爆,相關話題數次登上熱搜頭條,ZNN希望通過自己的運營理念,讓更多人能認識到加密數字貨幣價值,隨著本次ZNN.COM品牌戰略升級.

1900/1/1 0:00:00
關于WEP上線COINBIG的公告_INB:CoinBurp

COINBIG數字資產平臺即將上線WEP,并開放WEP/USDT交易對,具體詳情如下:充幣時間:2021年3月18日15:00交易時間:2021年3月19日15:00提幣時間:2021年3月20.

1900/1/1 0:00:00
Gate.io 已發CUDOS超級空投福利活動獎勵公告_GAT:Gate.io

Gate.ioCUDOS超級空投福利活動已圓滿結束,根據活動規則,我們已為符合規則的用戶發放了活動獎勵。用戶可進入“賬戶管理—我的資金—賬單明細”查詢獎勵發放情況。活動詳情及規則請點擊查看.

1900/1/1 0:00:00
幣虎已暫停N8V充提幣業務,并支持其主網切換_COIN:SWATCoin

尊敬的用戶: 由于N8V將主網切換,幣虎平臺現已暫時關閉N8V的充提功能,并支持N8V主網切換。期間不影響正常交易。具體恢復時間請關注后續公告。關閉期間給您帶來的不便,敬請諒解.

1900/1/1 0:00:00
ads