本文来自BlockSec,Odaily星球日报经授权转载。8月12日,根据DAOMaker电报群用户反馈,该项目疑似遭到黑客攻击,价值700万美元的USDC被黑客提取至未知地址。BlockSec团队经过分析后发现,该事件的起因是私钥泄露或者内部人士所为。攻击过程
根据我们的交易分析系统我们发现,攻击的过程非常简单。攻击交易的hash是:0x26aa86261c834e837f6be93b2d589724ed5ae644bc8f4b8af2207e6bd70828f9涉及到的地址:0x41b856701bb8c24cece2af10651bfafebb57cf49:受害者钱包;0x1c93290202424902a5e708b95f4ba23a3f2f3cee:XXX,攻击者合约;0x0eba461d9829c4e464a68d4857350476cfb6f559:中间人;0x054e71d5f096a0761dba7dbe5cec5e2bf898971c:受害合约创建者。
BlockFi将于凌晨1时起进行系统升级 预计不超过2小时:加密借贷平台BlockFi官方发推文称,将在北京时间3月9日01:00前开始对系统进行升级,以进行日常维护。在此期间,现有网页以及iOS和Android应用程序的用户将无法使用BlockFi。该过程持续不超过2个小时,用户资金将得到保障。[2021/3/9 18:26:44]
攻击者XXX调用受害者钱包合约的函数查询用户余额,然后调用withdrawFromUser将钱转到自己的账户。攻击完成。由于转账的操作是一个特权操作,因此通常需要对调用者的身份做校验。我们通过分析发现,攻击者确实具有相应的权限来将受害者钱包中的余额转出。这里的问题就变成为什么攻击者能具有相应的权限?通过进一步分析我们发现另外一笔交易。这一笔交易将攻击者赋予具有转账的权限。交易trace如下:0x2fba930502d27f9c9a2f2b9337a0149534dda7527029645752b2a6507ca6b0d6。
Block.Info数据追踪检测2400枚BTC从未知钱包转出 价值超2200万美元:据Block.Info大额播报数据显示:北京时间2020年7月8日10:09:05,2399.99968303BTC从未知钱包(3QZ6GZsGityw1xrUyKxQKmoJVB8wc1VqXw)转出至未知钱包(35JxM4iZUkig8uuwECtsJfVxSYT7PaRMSf),按当时价格价值22,296,134.70美元,交易哈希:38ad837302112aaf5dda4a43400cf9625613c281498068d818d6b7faa99d051a[2020/7/8]
声音 | Blockstream首席执行官:比特币作为数字黄金有比黄金更多的现金效用:Blockstream首席执行官Adam Back刚刚发推文表示:“比特币作为数字黄金也有比黄金更多的现金效用,包括个人和在线。因此,对于具有更广泛用例的人来说,购买和持有比特币可能会引起人们的兴趣。最初用于付款,但是一旦他们感兴趣,就会进行价值存储。”[2019/8/2]
0x0eba461d9829c4e464a68d4857350476cfb6f559调用受害者合约的grantRole函数将攻击者0x1c93赋予具有转账的权限。但是能调用grantRole赋予其他账户权限,那么0x0eba4必须具有admin的权限。那么他的admin权限是谁授予的呢?继续追踪,我们发现它的admin权限是由另外一笔交易完成的:0x41b856701bb8c24cece2af10651bfafebb57cf49。
金色财经现场报道 Higgs Block 集团 CEO陈庆:加密货币面临很大的发展机会:金色财经现场报道,在2018FINWISE东京纷智峰会上,Higgs Block 集团 CEO陈庆进行以《更大更好》为主题的演讲,她指出:加密货币正超多大部分的其他货币。现实生活中,到2020年,28%的传统银行和支付业务将转向金融科技——这一大类别涵盖了几乎所有的金融服务与科技。加密货币面临很大的发展机会,交易所目前面临达到一定规模和覆盖面、资金和财务、获得知名度和认可度、监管问题、建立可持续流入等问题。“加密货币交易所联盟”应该引导并联手传统金融打造更大的加密货币市场,包括机构、银行、监管、投资人关系建设和维护。[2018/5/21]
0x054e71d5f096a0761dba7dbe5cec5e2bf898971c账户将0x0eba461d9829c4e464a68d4857350476cfb6f559账户设置成受害合约的admin。然而我们发现,受害合约是由0x054e71d5f096a0761dba7dbe5cec5e2bf898971c创建的。
总结一下,整个的流程是:
那问题就来了,为什么部署受害者合约的0x054e最后间接赋予了攻击者能转账的特殊权限呢?这里有两个可能性。第一个0x054e是内鬼,第二个就是私钥泄露。其他
另外一个有趣的点就是攻击者的合约是开源的,代码简单易懂,可以作为学习合约开发的启蒙教程。
但是受害者的合约代码是不开源的。这有点匪夷所思。不开源的钱包也有人敢用?最后
最近区块链安全接连出现大的安全事件,包括PopsicleFinance双花攻击分析和PolyNetwork攻击关键步骤深度解析,损失在几百万美金到数亿美金之间。项目方如何提高安全意识,保护好代码安全和资产安全,正是BlockSec团队希望和社区一起能解决的问题。只有把安全做好,DeFi的生态才能更健康有序发展。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。