本文由Certik原创,授权金色财经首发。
2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。
攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。
因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。
Celsius:7000万美元的现金救济将加强今年生存的能力:金色财经报道,加密借贷平台Celsius Network表示,新发现的7000万美元现金可能会帮助该公司继续运营到2022年底。根据该公司的法律伙伴Kirkland & Ellis周四提交的一份文件,在美国纽约南区破产法院举行的第三次破产听证会上,Celsius预计偿还美元计价贷款的收益约为7000万美元。在听证会上,Kirkland & Ellis的一名律师说,这些贷款被误认为是与美元挂钩的稳定币,贷款人本来不能用这些稳定币来为其业务融资。
根据Celsius的规定,它预计将在10月7日前收到大部分的还款。预测显示,到11月底,其可支配现金余额将达到4200万美元。推断其每周的净现金流,现金堆将只能勉强维持到今年年底。[2022/9/3 13:05:53]
CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。
Cardano生态DEX SundaeSwap锁仓量突破 1 亿美元:金色财经报道,?Cardano生态第一个去中心化交易所SundaeSwap锁仓量突破 1 亿美元。加密货币交易所Bitrue宣布将 SundaeSwap 代币 (SUNDAE) 添加到其交易平台上支持的资产列表中。(u.today)[2022/2/15 9:51:55]
2021年3月5日,PAID遭受了持续约30分钟的攻击。
通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:
USDT占比特币交易比重约为63.01%:金色财经消息,据cryptocompare数据显示,目前比特币交易情况按照交易币种排名,排名名第一的是USDT,占比为63.01%;排名第二的是美元,占比为10.52%;排名第三的是日元,占比为7.52%;排名第四的是CNYT,占比为5.17%;排名五的是韩元,占比为2.35%[2020/10/25]
第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。
第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。
第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。
第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。
最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。
CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。
2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。
攻击者之后销毁了6000万枚PAID代币,留出铸币空间。
最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。
客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。
当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。
而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。
CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。
复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:
https://certik.org/projects/paidnetwork
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。