以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > PEPE > Info

首發 | PAID Network攻擊事件還原_區塊鏈:PAID Network

Author:

Time:1900/1/1 0:00:00

本文由Certik原創,授權金色財經首發。

2021年3月5日,PAIDNetwork遭受了由于私鑰管理不善而引起的"鑄幣"攻擊。

攻擊者使用代理合約私鑰,將原先經過CertiK審計的PAID合約代碼掉包,添加了銷毀和鑄幣的功能函數。

因為PAID代幣已達上限,攻擊者先銷毀了6000萬枚PAID代幣,然后再重新鑄造了59,471,745枚PAID,并通過Uniswap出售。

首發 | 百度財報體現區塊鏈 BaaS平臺成為新戰略重點:金色財經報道,2020年2月28日,百度(股票代碼BAIDU)公布財報,其中將區塊鏈BaaS平臺相關的進展進行了單獨敘述,依托于百度智能云的區塊鏈平臺有望成為技術創新方向的新增長引擎。在AI服務上,百度與上海浦東發展銀行達成合作,共建區塊鏈聯盟,在百度區塊鏈服務(BaaS)平臺上實現跨行信息驗證。[2020/2/28]

CertiK團隊第一時間和PAID?Network團隊溝通調查,確認了原代碼并無漏洞,攻擊事件是由私鑰泄露導致的。目前CertiK團隊仍無法確認私鑰泄露的原因,但已經可以將整個攻擊過程還原。

首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。

?

《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]

PAID事件時間線

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報,截止北京時間6月13日15:50,EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬,占比2.96%;EOS佳能的得票總數為877萬,占比2.87%。此前異軍突起的EOSflytomars暫居第17位,得票總數為630萬,占比2.07%。目前躋身前30名的超級節點競選團隊中,有八個團隊來自中國。[2018/6/13]

2021年3月5日,PAID遭受了持續約30分鐘的攻擊。

通過鏈上分析,CertiK團隊總結了攻擊的時間線及操作步驟如下:

第一步:合約所有權被轉移給了攻擊者,此時攻擊者在得到私鑰后就已經完全獲得了代理合約的控制權。

第二步:攻擊者利用代理更新合約,添加了銷毀和鑄幣的功能函數。

第三步:攻擊者銷毀了6000萬枚PAID,留出鑄幣空間。

第四步:攻擊者開始鑄幣,并向Uniswap傾銷PAID代幣以換取以太幣。

最后,本次事件并沒有攻擊智能合約的代碼本身,而是通過某種渠道獲得了代理合約的私鑰。

CertiK在審計報告中的PTN-10章節提出了:AmbiguousFunctionality以及其他章節強調了PAID合約中心化的問題。

總結

2021年3月5日,攻擊者獲得PAID代理合約私鑰,替換原有代碼,添加了銷毀和鑄幣的功能函數。

攻擊者之后銷毀了6000萬枚PAID代幣,留出鑄幣空間。

最后,鑄造了59,471,745枚PAID,并通過Uniswap出售了2,401,203枚代幣。

客觀來看,本次攻擊事件中攻擊者并沒有找到任何原合約的漏洞,而是直接獲得了代理合約私鑰。

當合約的可升級性作為項目的預期功能而存在時,它在智能合約中確實有其存在的價值。

而這種類型的功能要求合約所有者以及部署者在確保代碼基本安全的同時,同樣必須保證私鑰的安全。

CertiK將會在未來更多地強調并關注中心化及私鑰保護等相關問題。

復制下方鏈接至瀏覽器,查看CertiK于2021年1月24日為PAIDNetwork出具的審計報告:

https://certik.org/projects/paidnetwork

Tags:AIDPAIDPAI區塊鏈DomRaiderPAID NetworkLianPai Token區塊鏈技術通俗講解科普

PEPE
首發 | 2020年區塊鏈安全態勢感知報告_區塊鏈:USD

本文由國家互聯網應急中心主編,授權金色財經首發。 編委會 主編:國家互聯網應急中心聯合編制:成都鏈安科技有限公司 北京長亭科技有限公司 蘇州鏈原信息科技有限公司杭州派盾信安科技有限公司天融信科技.

1900/1/1 0:00:00
Gate.io 直播:操盤思路講解、幣圈商學院等16個節目即將開播_GATE:LIVE

Gate.io直播間作為行業內首個交易所內置直播功能,通過多樣性的直播形式為平臺用戶帶來具有深度、有趣、開放的信息內容.

1900/1/1 0:00:00
NFT板塊爆發?當NFT與CellETF相遇會有哪些可能性?_CELL:Blank Wallet

NFT板塊爆發?當NFT與CellETF相遇會有哪些可能性?NFT即非同質化代幣,是指一個擁有區塊鏈管理權,獨特的區塊鏈項目.

1900/1/1 0:00:00
USDT 7天定期理財第三期_USDT:fsc幣usdt幣

尊敬的用戶: 福利不斷,為回饋廣大用戶,WBF開展USDT7天定期理財活動,活動詳情如下: 認購說明: 1.本次認購僅支持APP端,可在APP端“挖礦寶”-“定期理財”中認購.

1900/1/1 0:00:00
Kraken Deploys System Upgrades After Surge in Crypto Interest_AND:wandtchain

OnJanuary29,therewasunprecedenteddemandforKrakenservicesthatfarexceededoursurgepredictionmodeling.

1900/1/1 0:00:00
狀態可得性:GetNodeData DHT 方案_ARC:STRIDR價格

我的團隊正在驗證一個?“狀態可得性”問題的解決方案是否可行。 方案概述 我們的方向大致如下: 網絡是一個分布式哈希表。賬戶和合約存數據存儲在它們各自的trie節點中.

1900/1/1 0:00:00
ads