2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。CertiK团队第一时间和PAIDNetwork团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。PAID事件时间线
Certik:正在探讨180万美金社区补偿计划以弥补Merlin DEX事件损失:金色财经报道,据Certik发文表示,在Merlin DEX的恶意开发者实施了Rug Pull后,正与受影响的各方紧密合作,弥补Merlin DEX事件造成的180万美元用户资金损失。据悉,CertiK将在未来几天内宣布一个180万美金的社区补偿计划以弥补损失,更多的计划细节将会于随后发布。
CertiK在对Merlin DEX的审计过程中发现了中心化风险,并对授予“masterAddress”和“owner”地址的权限进行了详细的可视化分解。该审计工作于4月23日完成,共有六项发现。Merlin团队修复了其中两个问题,并确认了其余四个问题。CertiK的审计报告全部公开透明,并免费提供给所有Web3社区成员查看。
初步调查表明,攻击者很可能位于欧洲。目前,Certik正在与执法部门合作,追踪他们的下落。CertiK也正在与Merlin团队的其他成员紧密合作并努力解决问题。目前,CertiK已敦促该恶意开发者接受20%的白帽赏金。[2023/4/27 14:29:05]
2021年3月5日,PAID遭受了持续约30分钟的攻击。通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。
CertiK:ALG代币跌幅超过94%,需警惕风险:5月30日消息,CertiK Alert发推称,此前曾在5月17日提醒社区ALG代币暴跌超过99%。5月19日,新ALG代币被创建,今天的跌幅超过94%,CertiK提醒社区警惕风险。合约创建者地址为0xb428bf8b0b42d12f8ff38786ff6e226353709223。[2022/5/31 3:51:35]
元宇宙足球游戏MetaSoccer融资220万美元:11月24日消息,MetaSoccer已筹集220万美元,资金将用于在Metaverse中推出足球比赛和足球俱乐部管理平台。投资方包括PlayVentures、DefianceCapital、ParafiCapital、DAOMaker、KyrosVentures、MetrixCapital和PeechCapital。MetaSoccer允许用户组建虚拟足球队,进行比赛或通过一个赛季管理球队。玩赚游戏允许用户通过在平台上交易球员、赢得比赛和获得赞助来获得MSU代币。(cointelegraph)[2021/11/24 7:08:29]
第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。
第三步:攻击者销毁了6000万枚PAID,留出铸币空间。第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。总结
2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。攻击者之后销毁了6000万枚PAID代币,留出铸币空间。最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。
复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:https://certik.org/projects/paidnetwork
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。