11月7日消息,据慢雾区情报,上周pNetwork增发GALA事件的根本原因系私钥明文在GitHub泄露。在pGALA合约使用了透明代理模型,其存在三个特权角色,分别是Admin、DEFAULT_ADMIN_ROLE与MINTER_ROLE。Admin角色用于管理代理合约的升级以及更改代理合约Admin地址,DEFAULT_ADMIN_ROLE角色用于管理逻辑中各特权角色,MINTER_ROLE角色管理pGALA代币铸造权限。在此事件中,pGALA代理合约的Admin角色在合约部署时被指定为透明代理的proxyAdmin合约地址,DEFAULT_ADMIN_ROLE与MINTER_ROLE角色在初始化时指定由pNetwork控制。proxyAdmin合约还存在owner角色,owner角色为EOA地址,且owner可以通过proxyAdmin升级pGALA合约。但慢雾安全团队发现proxyAdmin合约的owner地址的私钥明文在Github泄漏了,因此任何获得此私钥的用户都可以控制proxyAdmin合约随时升级pGALA合约。不幸的是,proxyAdmin合约的owner地址已经在70天前被替换了,且由其管理的另一个项目pLOTTO疑似已被攻击。由于透明代理的架构设计,pGALA代理合约的Admin角色更换也只能由proxyAdmin合约发起。因此在proxyAdmin合约的owner权限丢失后pGALA合约已处于随时可被攻击的风险中。
安全公司:被盗的BAYC#3097在Blur上以16.95ETH的价格售出:金色财经报道,PeckShieldAlert发推表示,被盗的BAYC#3097在Blur上以16.95 ETH的价格售出。[2023/2/24 12:26:23]
安全公司:saddlefinance遭受闪电贷攻击,损失约950万美元:金色财经消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,saddlefinance项目遭受闪电贷攻击,损失约950万美元。[2022/4/30 2:42:00]
安全公司:Primitive Finance发现严重漏洞 需取消对有漏洞的合约授权否则面临资产被盗风险:2月22日,以太坊链上期权协议 Primitive Finance 智能合约发现一个严重漏洞。Primitive Finance团队尝试攻击自己的智能合约来保护用户资金安全。PeckShield 派盾安全人员快速定位并追踪发现,Primitive Finance 出现的漏洞已存在数月之久。PeckShield 派盾提示已对有漏洞的合约授权的用户需取消授权,如若不取消授权,储存在钱包里的资产存在被盗的风险。[2021/2/22 17:39:07]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。