CertiK:PAID Network攻击事件还原-ODAILY_AID:EMAID

2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。CertiK团队第一时间和PAIDNetwork团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。PAID事件时间线

CertiK:警惕推特上假冒Arkham Intel空投的虚假宣传:金色财经报道,据CertiK官方推特发布消息称,警惕推特上假冒Arkham Intel空投的虚假宣传,请用户切勿与虚假宣传链接互动,虚假宣传的网站会连接到一个已知的自动盗币地址。[2023/7/17 10:59:43]

2021年3月5日,PAID遭受了持续约30分钟的攻击。通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

Balancer:约1190万美元资金受Euler攻击事件影响,其他流动性池安全:金色财经报道,去中心化交易协议 Balancer 发推表示,在 Euler Finance 攻击事件中,约 1190 万美元从 bbeUSD 流动性池中被发送给 Eule,占了整个该流动性池 TVL 的 65%,bbeUSD 代币也被存入了其他 4 个流动性池:wstETH/bbeUSD、rETH/bbeUSD、TEMPLE/bbeUSD、DOLA/bbeUSD,所有其他的 Balancer 流动性池都是安全的。

由于采取了保护剩余资金的措施,UI 目前不支持现有 LP 退出这些 bbeUSD 池中的头寸,但不存在资金进一步损失的风险,bbeUSD 池用户可以使用 UI 按比例提取代币和 bbeUSD,但在 Euler 恢复 eTokens(例如 eDAI/DAI)的可转让性之前,无法从 bbeUSD 撤回资金。[2023/3/14 13:02:28]

Balancer 2.0版本将降低DeFi交易的Gas费用:金色财经报道,去中心化交易协议Balancer将发布2.0版本,该版本将被委托的所有资产放在一个大的保险库中。这将极大地降低去中心化金融(DeFi)交易的Gas费用,因为用户可以根据需要随意交易,只需要为进入和离开Balancer支付Gas费用。[2021/2/3 18:44:48]

第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。

第三步:攻击者销毁了6000万枚PAID,留出铸币空间。第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。总结

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。攻击者之后销毁了6000万枚PAID代币,留出铸币空间。最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:https://certik.org/projects/paidnetwork

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-0:971ms