北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Balancer将为LSD协议StaFi的rETH-ETH池创建Gauge,BAL释放上限为10%:2月8日消息,流动性质押衍生品协议 StaFi 在 Balancer 社区提议为以太坊上的 rETH-ETH 池创建一个 Balancer Gauge,BAL 释放上限为 10%。StaFi 将使其 Balancer rETH-ETH 池成为以太坊主网上 rETH 的主要流动性来源。通过增强池的流动性,Balancer 将会从增加的交易费用中获益。目前该提案已获得 Balancer 社区投票通过。
StaFi 于 2020 年第三季度推出,重点是为以太坊和其他权益证明链(例如 Polygon、Solana 和 Polkadot)上的抵押资产带来流动性。与其他 LSD 协议类似,StaFi 发行流动性收据 Toekn (rETH),代表用户通过无许可的验证器集在信标链上质押的以太坊份额。自推出以来,该协议已在 11 种 Token 中积累了价值超过 3600 万美元的质押资产,并拥有 3439 个活跃验证者。[2023/2/8 11:54:54]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
Cere Network将通过DAO Maker进行公募,以筹集100万美元:3月22日消息,波卡生态去中心化数据云平台Cere Network宣布将在DAO Maker的新投资平台DAO Pad上进行公募,以筹集100万美元资金。
本次公募将采取白名单形式,白名单上限400人,每人将最多获得价值2500美元的Cere代币分配额度。不过,参与者需要在DAO Maker Vault中质押500枚DAOMaker代币DAO。
Cere Network是基于波卡Polkadot构建的去中心化数据云平台,针对服务数据集成、数据协作进行了优化。3月份,Cere Network完成由RepublicLabs领投的500万美元私募轮融资,由RepublicLabs领投,OKEx旗下Block Dream Fund等参投。(Medium)[2021/3/22 19:08:22]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
动态 | 币安稳定币BGBP已于本月初完成代码审计,由CertiK团队负责:安全公司Certik宣布完成对币安发行的稳定币BGBP的审计。审计报告结果显示,BGBP的智能合约代码遵守着最高标准(best pratice)并给出满分100的高分。据悉,CertiK测试网今年7月成功上线。CertiK旨在从系统层面解决区块链安全问题,为更多的区块链社区提供安全服务。[2019/8/9]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
动态 | CertiK获OKEx最佳安全审计伙伴奖:在刚刚闭幕的2018OKEx产业共赢大会上,CertiK荣获最佳安全审计伙伴奖项。CertiK是美国形式化验证公司,专注于以深度规范技术(DeepSpec)验证智能合约安全,提供安全审计服务。目前,CertiK已成为多家交易所指定代码审计机构并达成战略合作关系,并对数十家区块链项目完成了严格的代码审计服务。[2018/7/23]
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。