北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
数据:以太坊转账费正处于2023年2月以来的最低水平:金色财经报道,Blockworks Research数据显示,以太坊转账费正处于2023年2月以来的最低水平。据推测,这一现象或由于市场中meme币的沉寂所导致。[2023/6/13 21:32:38]
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
BRC-20代币Ordi短线突破10美元,市值突破两亿美元:金色财经报道,数据显示,比特币铭文代币Ordi短线突破10美元,现报9.6美元,24小时涨幅103.6%,当前持币地址5197个,市值突破两亿美元。
此外,BRC-20相关代币目前约为12647种,总市值约为2.7亿美元,Ordi当前市值占BRC-20总市值50%以上。
据悉,BRC-20协议是直接写到比特币网络上,以聪为载体,用Ordinal Inscriptions的JSON数据部署、铸造和转移代币。Ordi是第一个比特币铭文代币,总供应量为2100万枚。[2023/5/6 14:46:40]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
NFT市场Magic Eden上线新功能:支持即时销售和过滤NFT属性:金色财经报道,NFT市场Magic Eden在官方博客发文公布推出四项新功能,主要包括:
1、简化登陆:只需验证一次钱包即可访问Magic Eden 的全套功能。
2、支持即时销售和收藏优惠UX:藏品报价将更显眼地显示在藏品页面上,卖家可以即时出售NFT,买家则可以展示更多报价。
3、NFT属性计数过滤:支持搜索具有特定数量属性的NFT。
4、收藏页列表:支持直接从产品系列页面列出NFT藏品。[2023/2/14 12:05:21]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
俄罗斯和古巴在制裁中研究用加密货币作为替代方案:金色财经报道,克里姆林宫顾问在哈瓦那宣布,俄罗斯和古巴都面临制裁,正在研究跨境支付的替代方案,包括加密货币。莫斯科已经在开发一种加密结算机制,以规避因入侵乌克兰而施加的金融限制。[2022/11/18 13:22:35]
纽约数字投资集团NYDIG为其机构比特币基金筹集7.2亿美元:10月3日消息,据报道,根据提交给美国证券交易委员会(SEC)的文件显示,纽约数字投资集团(NYDIG)为其机构比特币基金筹集了7.2亿美元。共计59位投资者出资,平均每人超1200万美元。(Trustnodes)[2022/10/3 18:38:22]
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①?修改了逻辑合约的存储结构:
②?限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。