在11月2日上线后仅几个小时,AxionNetwork代币AXN的价格暴跌了100%。这次价格暴跌披露了其存在的漏洞,下文是CertiK安全审计团队针对此事件的完整分析。2020年11月2日北京时间晚上七时左右?,黑客利用AxionStaking合约的unstake函数设法铸造了约800亿个AXN代币。黑客随后将AXN代币在Uniswap交易所中兑换以太币,重复此过程,直到Uniswap中ETH-AXN交易对的以太币所被耗尽,同时AXN代币价格降至0。在攻击发生后的几分钟内,CertiK安全审计团队获知了该攻击事件,并即刻展开了调查。CertiK安全审计团队认为该攻击极大可能是内部操作造成的,该内部操作通过在部署代码时,对项目依赖的OpenZeppelin依赖项注入恶意代码。被恶意利用的智能合约函数不属于CertiK审核的范围内。在将Axion项目代码和OpenZeppelin依赖代码结合并进行部署时,该恶意代码随着OpenZeppelin依赖代码被注入到部署的项目中。攻击预谋
CertiK:Redemption-LP遭到闪电贷套利攻击 损失15万WFTM:据CertiK安全团队监测,Redemption-LP于北京时间2022年4月18日19点35分遭到闪电贷套利攻击,损失约合110万元人民币(15万WFTM)。该事件发生的原因在于:闪电贷在还款前,不收取任何费用,相应的代币会直接从Redemption-LP pair转给distributor,导致Redemption-LP与其他正常pair之间出现价格差异。[2022/4/19 14:32:42]
黑客在发动攻击时使用的是前一天从tornado.cash?中获取的匿名资金?,说明这是一次有预谋的攻击。可能是以防攻击失败而节省一些资金,黑客账户在收到资金后,立即通过tornado.cash转出了2.1个以太币。作为本次攻击的准备工作的最后一步,黑客从Uniswap交易所购买了大约70万个HEX2T代币?。然而,这些资金最终没有参与到攻击中,而是为掩护攻击行为而放出的烟雾弹。攻击准备
Balancer增长主管:DeFi将取代大量的传统金融服务:CryptoPotato与Balancer增长主管Jeremy Musighi就2021年的牛市发表了自己的看法。他认为,市场会认识到DeFi将有多大的影响,而且它将继续存在,他认为DeFi带来了进一步的认识和教育,即DeFi是如何取代我们的许多传统金融服务和产品的。此外,他还表示,\"比特币仍然被用作加密货币的主要储备资产\"。(CryptoPotato)[2021/7/5 0:28:55]
在北京时间下午四时?,黑客先以数量为0和持续抵押时间为1天为参数调用stake函数,在AxionNetwork的抵押合同中创建“空”抵押。这为黑客创建了一个Session条目,其会话ID为6,数量为0,股价为0。此后,黑客预料到攻击将会成功,因此向Uniswap交易所预先授权了无限制的AXN。随后,他们批准了Axion的NativeSwap合约,以获取即将转换为AXN代币的资金额。黑客在大约北京时间下午五时?调用了NativeSwap合约的deposit函数,然而黑客并未调用该合约的withdraw函数来获取其交换得到的AXN,这在NativeSwap合约的swapTokenBalanceOf函数清晰可见。随后,他们在执行攻击前又调用了一次deposit函数,但是这次调用执行最终失败。攻击执行
Kava旗下应用Harvest.io通过Certik的代码审计:区块链安全公司CertiK对Kava旗下应用Harvest.io模块的代码系统进行了审计,未发现重大或关键漏洞,验证了应用的可信度。
Harvest.io是一个跨链货币市场,也是首批搭建在Kava区块链上的应用之一。Harvest支持加密用户能够使用主流加密货币进行借贷和赚取收益。[2020/10/27]
以上提到的交易仅仅是黑客为了掩护真正unstake攻击的烟雾弹。由于黑客进行的交易未更改sessionDataOf映射,因此可以得出结论,这是一次多地址攻击。为了找到可能导致sessionDataOf映射受到影响的原因,CertiK安全审计团队在GitHub代码存储库中审查了项目方与CertiK共享的合约源代码。经过仔细验证,团队无法在stake函数之外检测到对其或其成员的任何修改操作,这使得我们怀疑该项目智能合约是否被正确的部署。攻击途径
Ocean Protocol与Balancer Labs合作将创建数据自动做市商:9月24日消息,基于区块链的数据货币化创业公司OceanProtocol宣布将与BalancerLabs合作,创建首个用于数据的自动做市商(AMM)。据悉,OceanProtocol旨在帮助个人和企业解锁数据并将其货币化,将数据和人工智能的好处扩展到少数囤积、控制并从中致富的组织之外。Ocean创始人TrentMcConaghy表示,创建高效的数据市场是实现这一目标的关键,因此与BalancerLabs达成合作。(CoinDesk)[2020/9/24]
在分析了已部署的Staking合约源代码之后,CertiK安全审计团队在Staking合约的已部署的源代码?第665-671行发现了一处代码注入,该代码注入发生在被修改的OpenZeppelin库中的AccessControl智能合约。链接中的checkRole函数不属于OpenZeppelinv3.0.1的实现,而OpenZeppelinv3.0.1?在项目的GitHub代码存储库中被列为依赖项。在checkRole函数中,存在以下assembly模块:
大麻制造运输商Ceres正在寻求SEC许可,以销售5000万美元代币:总部位于芝加哥的公司Ceres希望利用美元支持的稳定币在区块链上为大麻建立一个从种子到销售的交易网络,前提是美国证券交易委员会(SEC)批准销售。根据申请书,Ceres计划销售5000万美元的代币,其中有两种代币,一种等同公司股权的代币(Token),另一种为Ceres币(Ceres coin)。申请书中表示,出售股权价值3000万美元,出售Ceres币以筹集2000万美元。Ceres首席运营官Charlie Uchill表示,Ceres尚未发放任何贷款,指望通过数字证券销售来筹集资金。根据 Investopedia的一份报告,在等待SEC批准其申请的同时,Ceres继续经营美国日益增长的合法大麻产业,据估计,2019年该产业的规模为136亿美元。(Coindesk)[2020/7/9]
此函数允许特定地址通过底层调用根据其传入的参数对合约进行任意写入。带注释的assembly模块如下所示:
此函数是在合约部署时添加的,因为OpenZeppelin的AccessControl的实现中并不存在此函数,这意味着参与部署代币的AxionNetwork成员从中作梗。结论
此次攻击涉及到的代码,是在合约部署前被人为故意添加进去的。此次事件与CertiK完成的审计毫无关联,对这次攻击所负责的人应是参与了AxionNetwork合约部署的相关人员。在此CertiK也特别强调,为了保证审计报告的有效性,和对项目安全的保障,审计报告应包括已部署的智能合约地址。地址所指向的合约的代码应是和被审计过的源代码相同的。因此,请大家切勿因为看到项目“已审计”就不做任何背景调查而盲目跟进。CertiK安全预言机,作为一个链上可实时交互进行安全检测的工具,可以有效确保并验证已部署的智能合约匹配已被审计的版本。它可以从去中心化的安全运营商网络中检索一组安全评分,获得安全可靠的网络评估源代码,所有人都可以通过使用预言机来验证合约安全性。在基于区块链的生态系统中,提高安全性就必须将传统审计与链上安全性分析相结合。CertiK安全预言机将有效减少链上交易与实时安全检测之间的距离,致力于运用去中心化的方法来解决安全难点。
参考链接:?https://etherscan.io/tx/0xc2a4a11312384fb34ebd70ea4ae991848049a2688a67bbb2ea1924073ed089b4?https://tornado.cash/?https://etherscan.io/tx/0x86f5bd9008f376c2ae1e6909a5c05e2db1609f595af42cbde09cd39025d9f563/advanced?https://etherscan.io/tx/0x6b34b75aa924a2f44d6fb2a23624bf5705074cbc748106c32c90fb32c0ab4d14?https://etherscan.io/tx/0x5e5e09cb5ccad29f1e661f82fa85ed172c3b66c4b4922385e1e2192dc770e878?https://etherscan.io/tx/0xf2f74137d3215b956e194825354c693450a82854118a77b9318d9fdefcfbf875?https://etherscan.io/address/0xcd5f8dcae34f889e3d9f93f0d281c2d920c46a3e?https://github.com/OpenZeppelin/openzeppelin-contracts/blob/v3.0.1/contracts/access/AccessControl.so
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。