北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。
大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。
攻击步骤
①攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。
Galaxy CEO:大型资管公司提交比特币现货ETF文件表明加密货币采用将更广泛:金色财经报道,Galaxy首席执行官Mike Novogratz认为,最近大型资产管理公司提交的比特币现货ETF文件表明,将预示着更广泛的加密货币采用。
Novogratz表示,人们认为比特币是一种宏观资产,我们还处于早期阶段。贝莱德(BlackRock)、景顺(Invesco)等ETF提供商发出了一个真实的信号,表明比特币的采用即将到来。[2023/7/13 10:51:53]
https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f
ConsenSys Linea:Linea使用ETH作为原生货币,暂无推出代币计划:7月11日消息,ConsenSys的L2网络Linea表示,Linea 使用以太坊作为其原生货币,目前没有推出Linea代币的计划,已经有超过100个合作伙伴与Linea 测试网集成,本周还有数十个合作伙伴正在加入。
此外,Linea测试网已有550万个独立钱包共交易4600万笔交易,本周,Linea合作伙伴将开始迁移到Alpha版本,然后Linea会在ETHC期间开放网络。[2023/7/11 10:48:24]
https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984
dYdX、Nansen等入选The Information“50家最有前途的初创公司”:10月31日消息,科技新闻媒体The Information近日发布第三版“50家最有前途的初创公司”,涵盖人工智能、企业软件、社交应用、商业、媒体、安全、加密货币和金融软件等领域,超过三分之一的上榜公司成立两年或更短。
其中加密领域共有6家公司入选,包括dYdX(加密衍生品交易所)、Iron Fish(隐私公链)、Nansen(区块链分析平台)、Elementus(区块链咨询公司)、Render Network(去中心化3D渲染解决方案提供商)、Thirdweb(Web3开发者平台)。[2022/10/31 12:00:44]
https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0
②攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.
③攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5
④攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
⑤攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3
漏洞分析
CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。
分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。
为了解决这个问题,Audius做出了相应调整:
①修改了逻辑合约的存储结构:
②限制了可以调用initialize()函数的权限:
资金去向
攻击者合约:https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569
约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c
写在最后
在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。
本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。