北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Cere Network宣布推出去中心化数据即服务Vision 2.0:10月21日消息,去中心化数据云平台Cere Network宣布推出去中心化数据即服务(DaaS)Vision 2.0,旨在将数据控制权还给用户和内容创作者,Vision 2.0将支持去中心化数据云(DDC)及其所支持的Cere工具和服务套件,包括Cere去中心化内容交付网络、NFT铸造平台Freeport、Cere通用钱包、Cere NFT市场和内容管理系统(CMS)、Cere去中心化数据查看器(DDV)、以及通用NFT/内容注册表、Cere实时体验构建器(RXB)、改进的SDK/加密/解密包、视频流等。[2022/10/21 16:34:29]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
UENC公链与CertiK、北京链安达成战略合作:据官方消息,UENC公链智能合约预计将于7月上线测试网,待测试网各项指标达标,将在第三季度部署主网,合约审计业务已与CertiK和北京链安达成战略合作,运用UENC链上特性,双方将共同推动应用生态的安全规范发展。
UENC(United Engine Chian,引擎链)是一个高效节能的去中心化公有链系统,通过DPOW的共识算法,实现了CPU低能耗的工作模式,实现了链上快速,高并发的支付交易,目前任何可用的计算机都可以参与网络的基础建设。[2021/6/11 23:30:09]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
CerscoFin提议在Aave上建立市场 将实物资产和机构投资者带入Aave:受瑞士监管的金融加密公司CerscoFin提议在Aave上建立市场,将实物资产和机构投资者带入Aave。该提案允许投资者存入USDC并接收iCRES代币,该代币会提供保险利率,且为可替代的ERC20代币。该提案旨在允许Aave投资者参与低风险的实物资产。该提案将实现Aave拓展未来在实物资产现金流的愿景。(注:每一枚iCRES代币代表1美元的受保障抵押品和利息。)[2020/11/18 21:12:39]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?
②?限制了可以调用initialize()函数的权限:
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。