CertiK:600万美元损失,去中心化音乐平台Audius攻击事件分析-ODAILY_BAYC:BAY

北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。

大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。

攻击步骤

①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。

美国娱乐公司Animal Concerts推出NFT系列“A Hard Working Man”:11月3日消息,美国娱乐公司Animal Concerts宣布将在新的Minted Launchpad平台上推出NFT系列“A Hard Working Man”。该NFT系列以嘻哈明星SnoopDogg、乡村音乐偶像BillyRay Cyrus和AvilaBrothers等音乐界标志性人物为主角打造。

据悉,Minted Launchpad允许用户铸造、购买和交易以太坊和Cronos区块链中原有NFT。(Cointelegraph)[2022/11/3 12:13:47]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

Balancer和Gnosis达成合作,将推出新DEX BGP:4月28日消息,Balancer和Gnosis达成合作,将推出新DEX Balancer-Gnosis Protocol(BGP)。[2021/4/28 21:08:41]

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

美国网上超市CoinGrocer支持数字货币支付:据btcmanager消息,近日,一家名为CoinGrocer的网上超市上线,并将支持BTC、BCH、ETH、LTC、XMR等数字货币支付。据悉,该商店目前只面向美国的48个州开放。[2018/6/4]

②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

EOSeoul-EOSpay举行韩国最大EOS Block Producer Alliance研讨会:EOSeoul和EOSpay在本月26日在韩国首尔举行EOS BP Alliance研讨会。在此次研讨会中会有火币Pool,EOS Cannon,EOS Gravity,,EOS UNION,OracleChain,eos ONO等EOS BP候选单位个子发表EOS关联项目。[2018/5/21]

③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3

漏洞分析

CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。

分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。

为了解决这个问题,Audius做出了相应调整:

①修改了逻辑合约的存储结构:

②限制了可以调用initialize()函数的权限:

资金去向

攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

写在最后

在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。

本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

XRPApeCoin近期爆火的3个原因-ODAILY_BAY:ETH

无聊猿游艇俱乐部(BAYC)绝对是去年加密货币行业的最惊喜的项目之一。 BAYC由YugaLabs开发并在以太坊区块链上铸造,该系列中的每个NFT都代表了一种独特、醒目的猿猴,它们具有不同的外观.

[0:0ms0-3:954ms