本文来自BlockSec,Odaily星球日报经授权转载。8月12日,根据DAOMaker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。BlockSec团队经过分析后发现,该事件的起因是私钥泄露或者内部人士所为。攻击过程
根据我们的交易分析系统我们发现,攻击的过程非常简单。攻击交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者钱包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻击者合约;0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者。
数字资产托管平台Fireblocks已完成与Solana集成:金色财经报道,数字资产托管平台 Fireblocks 宣布已完成对 Solana 的集成,同时通过 Web3 Engine 工具帮助开发人员在 Solana 链上构建 DeFi、GameFi 和 NFT 产品。(cointelegraph)[2022/8/30 12:58:21]
攻击者XXX调用受害者钱包合约的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
Blockchain Association聘请两名新高管领导政策和政府关系:11月10日消息,美国非盈利组织区块链协会(Blockchain Association)宣布聘请Jake Chervinsky为政策主管,聘请Dave Grimaldi为政府关系主管。Jake Chervinsky此前为Compound总法律顾问,于10月份宣布辞职,目前也是Gro Protocol和Variant Fund的战略顾问。Dave Grimaldi此前是非盈利组织互联网广告署(IAB)的执行副总裁,还曾担任过美国众议院的资深法律顾问。[2021/11/10 6:43:22]
Blockstream CEO:使用bits代表BTC的最小单位优于使用sats:Blockstream CEO表示,使用bits代表BTC的最小单位优于使用sats。sats令人困惑,原本是中本聪设计的bits单位下面的bitcents。即使比特币官方客户端使用bits好多年了,人们仍使用sats。bits和bitcents像美元和美分的关系。假设一个价格,1 BTC等于100万美元,也就是1美元等于1 bit,1 bitcent等于1 sat等于1美分。目前BTC价格大约是2万美元,相当于1 bit的价格是0.02美元。这样1 bit从0.0195到0.0185美元的波动感觉较小,降低媒体的恐慌。
早期只有BTC和旧bitcents,21亿bitcents是2100万BTC,halfin说服中本聪这对世界人口来说不够,因此中本聪将1 bitcents变为0.01 bit。bit成为比特币的百万分之一(原本是bitcents)。后来社区将bitcent称为satoshi或者sat。1 BTC太贵了,sats又太多且便宜,不容易理解买的是什么。bits则非常合适。“购买1 BTC的部分”对新人很困惑且买不起,而且很难想象怎样使用。[2020/12/6 14:16:11]
0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?继续追踪,我们发现它的admin权限是由另外一笔交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
分析 | 比特币每日交易数量下降42% 或与Veriblock测试网结束有关:据The Block消息,比特币每日交易量在过去10天下降42%,而这一时间恰好是3月4日Veriblock测试网的结束。根据Veriblock自己公布的统计数据,当Veriblock处于测试网阶段时,已经占比特币交易的25%-45%。VeriBlock是利用OP_RETURN来保护替代区块链网络的初创公司,采用PoP (proof-of-proof)共识协议。虽然有媒体暗示,交易量下降可能是由于委内瑞拉大规模停电,但鉴于交易数量的下降与Veriblock测试网络结束前的统计数据非常接近,委内瑞拉停电的影响不大。Veriblock的主网将于3月15日发布,届时效果应该是显而易见的。[2019/3/12]
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。
总结一下,整个的流程是:
那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。其他
另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。
但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?最后
最近区块链安全接连出现大的安全事件,包括PopsicleFinance双花攻击分析和PolyNetwork攻击关键步骤深度解析,损失在几百万美金到数亿美金之间。项目方如何提高安全意识,保护好代码安全和资产安全,正是BlockSec团队希望和社区一起能解决的问题。只有把安全做好,DeFi的生态才能更健康有序发展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。