北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
美SEC:对加密对冲基金BKCoin和负责人Kevin Kang采取紧急行动:金色财经报道,美国证券交易委员会 (SEC) 宣布已对加密对冲基金 BKCoin Management提起紧急诉讼。此外,其联合创始人Kevin Kang也将受到审查。SEC称,至少从 2018 年 10 月到 2022 年 9 月,BKCoin 从至少 55 位投资者那里筹集了大约 1 亿美元用于投资加密资产,但 BKCoin 和 Kang 却使用部分资金进行庞氏式支付并供个人使用,其有权通过提起的紧急行动冻结BKCoin和Kevin Kang的资产。此外,该委员会已获准任命一名接管人和其他紧急救济人员。
金色财经此前报道,这位联合创始人于 2022 年 12 月因涉嫌挪用客户资金达 1200 万美元而被解雇。[2023/3/7 12:46:04]
攻击步骤
OKX将升级储备证明,包括full liability tree披露和用于偿付能力验证的零知识证明:3月2日消息,OKX宣布将在未来几个月内升级其储备证明(PoR),包括full liability tree披露和用于PoR偿付能力验证的零知识证明(ZKP)。升级建立在OKX当前的Merkle tree解决方案之上,以确保最大程度的透明度,同时增强客户隐私,具体安排如下:
- full liability tree:此升级将在即将发布的3月PoR报告中生效,允许任何人下载Full liability Merkle tree,从而提高透明度。同时,它将通过将每个用户的余额分割和转移到几个部分(分割叶节点)来维护帐户余额的隐私;
- 零知识证明:这一升级将在未来几个月生效,是一种防篡改的加密方法,允许用户验证所有客户存款都被计入,并通过比较用户资产净值与交易所储备来保证偿付能力。[2023/3/2 12:39:00]
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
派盾:黑客盗走认证过的推特账号伪造成LooksRare推特发布虚假信息:金色财经报道,PeckShield(派盾)在Twitter上表示,ID为@FreddyAdu的经过认证的推特账号遭到黑客攻击,攻击者将其伪造为LooksRare推特并发布虚假空投网站信息,目前仍未恢复。[2022/9/14 13:29:57]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
美元指数DXY站上110:行情显示,美元指数DXY站上110,日内涨0.36%。[2022/9/6 13:11:57]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
摩根大通料美联储9月最后一次大幅加息:8月22日消息,摩根大通策略师表示,美联储在9月可能进行最后一次大幅加息,股市在下半年或有继续上涨的基础。以Mislav Matejka为首的策略师称,预计美联储将在9月大幅加息,但在那之后,美联储不会再有令市场意外的偏鹰动作。他们预计,经济增长与货币政策之间的平衡将得到改善,并“帮助整个市场继续复苏”。他们预计,即使投资者仍然担心美联储可能会保持鹰派立场,对利率敏感的成长股也将继续跑赢价值股。(金十)[2022/8/22 12:41:42]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。