作者:Kong
據慢霧區情報,11月4日,一個BNBChain上地址憑空鑄造了超10億美元的pGALA代幣,并通過PancakeSwap售出獲利,導致此前GALA短時下跌超20%。慢霧將簡要分析結果分享如下:
相關信息
pGALA合約地址
0x7dDEE176F665cD201F93eEDE625770E2fD911990
proxyAdmin合約地址
0xF8C69b3A5DB2E5384a0332325F5931cD5Aa4aAdA
慢霧:正協助Poly Network追查攻擊者,黑客已實現439萬美元主流資產變現:7月2日消息,慢霧首席信息安全官23pds在社交媒體發文表示,慢霧團隊正在與Poly Network官方一起努力追查攻擊者,并已找到一些線索。黑客目前已實現價值439萬美元的主流資產變現。[2023/7/2 22:13:24]
proxyAdmin合約原owner地址
0xfEDFe2616EB3661CB8FEd2782F5F0cC91D59DCaC
proxyadmin合約當前owner地址
慢霧:疑似Gemini相關地址在過去5小時內共轉出逾20萬枚ETH:金色財經消息,慢霧監測顯示,疑似加密交易所Gemini相關地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在過去5小時內歸集并轉出逾20萬枚ETH(超3億美元)。[2022/7/19 2:22:08]
0xB8fe33c4B55E57F302D79A8913CE8776A47bb24C
簡要分析
1.在pGALA合約使用了透明代理模型,其存在三個特權角色,分別是Admin、DEFAULT_ADMIN_ROLE與MINTER_ROLE。
慢霧:警惕 Terra 鏈上項目被惡意廣告投放釣魚風險:據慢霧區情報,近期 Terra 鏈上部分用戶的資產被惡意轉出。慢霧安全團隊發現從 4 月 12 日開始至 4 月 21 日約有 52 個地址中的資金被惡意轉出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,當前總損失約 431 萬美金。
經過慢霧安全追蹤分析確認,此次攻擊為批量谷歌關鍵詞廣告投放釣魚,用戶在谷歌搜索如:astroport,nexus protocol,anchor protocol 等這些知名的 Terra 項目,谷歌結果頁第一條看似正常的廣告鏈接(顯示的域名甚至是一樣的)實為釣魚網站。 一旦用戶不注意訪問此釣魚網站,點擊連接錢包時,釣魚網站會提醒直接輸入助記詞,一旦用戶輸入并點擊提交,資產將會被攻擊者盜取。
慢霧安全團隊建議 Terra 鏈上用戶保持警惕不要隨便點擊谷歌搜索出來的鏈接或點擊來歷不明的鏈接,減少使用常用錢包進行非必要的操作,避免不必要的資損。[2022/4/21 14:37:55]
2.Admin角色用于管理代理合約的升級以及更改代理合約Admin地址,DEFAULT_ADMIN_ROLE角色用于管理邏輯中各特權角色,MINTER_ROLE角色管理pGALA代幣鑄造權限。
慢霧:Let's Encrypt軟件Bug導致3月4日吊銷 300 萬個證書:Let's Encrypt由于在后端代碼中出現了一個錯誤,Let's Encrypt項目將在撤銷超過300萬個TLS證書。詳情是該錯誤影響了Boulder,Let's Encrypt項目使用該服務器軟件在發行TLS證書之前驗證用戶及其域。慢霧安全團隊提醒:數字貨幣行業有不少站點或內部系統為安全目的而使用 Let's Encrypt 自簽證書,請及時確認是否受到影響。如有影響請及時更新證書,以免造成不可預知的風險。用戶可查看原文鏈接在線驗證證書是否受到影響。[2020/3/4]
3.在此事件中,pGALA代理合約的Admin角色在合約部署時被指定為透明代理的proxyAdmin合約地址,DEFAULT_ADMIN_ROLE與MINTER_ROLE角色在初始化時指定由pNetwork控制。proxyAdmin合約還存在owner角色,owner角色為EOA地址,且owner可以通過proxyAdmin升級pGALA合約。
4.但慢霧安全團隊發現proxyAdmin合約的owner地址的私鑰明文在Github泄漏了,因此任何獲得此私鑰的用戶都可以控制proxyAdmin合約隨時升級pGALA合約。
5.不幸的是,proxyAdmin合約的owner地址已經在70天前被替換了,且由其管理的另一個項目pLOTTO疑似已被攻擊。
6.由于透明代理的架構設計,pGALA代理合約的Admin角色更換也只能由proxyAdmin合約發起。因此在proxyAdmin合約的owner權限丟失后pGALA合約已處于隨時可被攻擊的風險中。
總結
綜上所述,pGALA事件的根本原因在于pGALA代理合約的Admin角色的owner私鑰在Github泄漏,且其owner地址已在70天前被惡意替換,導致pGALA合約處于隨時可被攻擊的風險中。
參考:https://twitter.com/enoch_eth/status/1589508604113354752
Tags:MINADMALAGALgemini女友染染干啥的ADMONKEYLALA WorldSAFEGALAXY 幣
采訪:Claudia 原文:《對話y2zVentures合伙人:世界是一場游戲,獵人必須有所獵之物》當談到y2zVentures.
1900/1/1 0:00:00原文作者:ChuanLin 導言 當你又一次聽說某Web3域名被賣出天價的時候,當你又一次看到身邊一位Web3朋友改用域名作為其用戶名的時候,當你開始在注冊欄中物色自己感興趣的域名的時候.
1900/1/1 0:00:00文:@TheChicagoVC多年來,加密社區一直在說“機構來了”……很長一段時間,我們都錯了。現在,在熊市的深處,越來越明顯的是,機構確實來了.
1900/1/1 0:00:00金色財經區塊鏈11月6日訊被譽為下一代互聯網的Web3好似黑暗中的一道曙光,掀起了一股傳統品牌的參與熱潮.
1900/1/1 0:00:00區塊鏈基礎設施Polygon網絡正在成為傳統品牌進入Web3世界的入口。11月4日,Meta旗下社交平臺Instagram宣布,將支持用戶創建、購買和交易NFT,底層首選Polygon;更早前的.
1900/1/1 0:00:00原文標題:FTX’sBalanceSheetWasBad原文編譯:Leo,BlockBeats 一個「空盒」 有太多想要說的,但我要從Serum開始.
1900/1/1 0:00:00