北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Balancer警告有630万美元的资金面临风险,督促部分池的 LP 尽快提取流动性:金色财经报道,Balancer已警告其流动性提供商从五个资金池中撤出资金,其中有630万美元面临风险。部分 Balancer 池的协议费用已设置为 0,以避免即将公开披露的一个问题,该问题已得到缓解。该举措是由紧急多重签名完成的。这些池继续正常运行,因此这些池的流动性提供者不需要采取任何行动,他们将继续收取掉期费用,但协议不会进行扣除。
随后,Balancer 又督促部分池的 LP 尽快提取流动性,因为紧急 DAO 无法缓解该相关问题。这五个池分别位于以太坊、Polygon、Optimism和Fantom。最大的资金池是DOLA / bb-a-USD,目前管理着360万美元的资金。[2023/1/6 10:58:44]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
ZKN跨链应用Cering将于9月11日发布:据官方消息,ZKN跨链应用Cering将于9月11日发布,Cering跨链聚合平台是ZireKing集团去中心化金融战略布局的落地,也将为NFT元宇宙生态板块中的唯一通证ZKN不断赋能。Cering支持任意异构链和同构链接入和交易,能完整兼容各种跨链技术和标准。[2021/9/4 22:59:57]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
动态 | 币安稳定币BGBP已于本月初完成代码审计,由CertiK团队负责:安全公司Certik宣布完成对币安发行的稳定币BGBP的审计。审计报告结果显示,BGBP的智能合约代码遵守着最高标准(best pratice)并给出满分100的高分。据悉,CertiK测试网今年7月成功上线。CertiK旨在从系统层面解决区块链安全问题,为更多的区块链社区提供安全服务。[2019/8/9]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
②?限制了可以调用initialize()函数的权限:
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。