本文由Certik原创,授权金色财经首发。
2021年3月5日,PAIDNetwork遭受了由于私钥管理不善而引起的"铸币"攻击。
攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁和铸币的功能函数。
因为PAID代币已达上限,攻击者先销毁了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。
《精灵达人3D》正式首发 Cocos-BCX 主网:据官方消息,近日,由生态合伙人 DAPPX 参与开发的《精灵达人3D》正式首发于游戏公链 Cocos-BCX 主网。《精灵达人3D》是一款以精灵宝可梦为题材的抓宠游戏,游戏美术采用全3D 制作。用户可通过 CocosWallet , DAPPX 或 IMCOCOS 登录 COCOS 主网账号即可体验。截至目前,Cocos-BCX 主网已上线《加密骑士团》《恶龙必须死》《XPEX怪兽世界》《Go Block》《可可夺币》《熊猫运动会》等多款玩法多样的趣味性链游,游戏公链生态在逐步壮大和完善。[2020/8/20]
CertiK团队第一时间和PAID?Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。
首发 | 此前18000枚BTC转账是交易所Bithumb内部整理:北京链安链上监测系统发现,北京时间10月24日,17:07分发生了一笔18000枚BTC的转账,经分析,这实际上是交易所Bithumb的内部整理工作,将大量100到200枚BTC为单位的UTXO打包成了18笔1000枚BTC的UTXO后转入其内部地址。通常,对各种“面值”的UTXO进行整数级别的整理,属于交易所的规律性操作。[2019/10/24]
PAID事件时间线
首发 | 蚂蚁矿机S17真机图首次曝光 采用双筒风扇及一体机设计 ?:继正式宣布在4月9日现货销售后,比特大陆即将发布的新品蚂蚁矿机S17又有了新动态。据悉,蚂蚁矿机S17真机图今天在网上首次曝光。
从曝光的图片来看,蚂蚁矿机S17延续上一代产品S15的双筒风扇设计,且采用一体机的机身设计。有业内人士认为,采用双筒设计可有效缩短风程,矿机出入风口的温差变小,机器性能将得到很大改善。
此前比特大陆产品负责人在接受媒体采访时表示,新品S17较上一代产品相比,无论是在能效比还是单位体积的算力等方面,均有较大提升。[2019/4/3]
2021年3月5日,PAID遭受了持续约30分钟的攻击。
通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:
第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。
第二步:攻击者利用代理更新合约,添加了销毁和铸币的功能函数。
第三步:攻击者销毁了6000万枚PAID,留出铸币空间。
第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。
最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。
CertiK在审计报告中的PTN-10章节提出了:AmbiguousFunctionality以及其他章节强调了PAID合约中心化的问题。
总结
2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁和铸币的功能函数。
攻击者之后销毁了6000万枚PAID代币,留出铸币空间。
最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。
客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。
当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。
而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。
CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。
复制下方链接至浏览器,查看CertiK于2021年1月24日为PAIDNetwork出具的审计报告:
https://certik.org/projects/paidnetwork
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。