首发 | PAID Network攻击事件还原

本文由Certik原创,授权金色财经首发。

2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。

因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。

YC支持的预测市场平台Better Opinions完成250万美元融资:金色财经报道,由知名孵化器 Y-Combinator 支持的预测市场平台Better Opinions 宣布完成 250 万美元融资,Metaplanet VC 和 Goldwater Capital 领投,YCombinator、Taurus VC、Original Capital、Tremis Capital、Super Capital、以及一些天使投资人参投。Better Opinions 是一款预测市场应用程序,允许用户在加密货币、体育、娱乐等领域预测市场走势,预测市场是一种相对较新的资产类别,用户可以在其中交易未来未知事件并赚钱,比如预测某个 Token 在未来特定时间的价格。此前,该公司曾在种子轮融资中从 Soma Capital 和 Java Capital 等投资机构募集到 70 万美元资金。(Indianweb2)[2022/7/25 2:36:00]

2021年3月5日,PAID遭受了持续约30分钟的攻击。

中币(ZB) 早行情:BTC 现报19372美元:据中币(ZB)交易平台行情数据,截止到今日09:55时,BTC 现报19372美元(+1.79%),ZB 积分现报0.28美元(+1.07%)。据CoinMarketCap 统计的数字货币总市值为5775亿美元,24 小时总交易额为1401亿美元,比特币市值占比 62.3%。全球市值前 100 名的数字货币有90支上涨,10支下跌。主流资产价格为:ETH 报612.63美元(+3.56%),EOS 报3.06美元(+0.69%),XRP 报0.62美元(+1.12%),LTC报88.49美元(+1.22%)。中币(ZB)24 小时内涨幅前三的数字货币是:NWT(+23.86%)、GRAM(+17.68%)、ULU(+17.65%)。[2020/12/4 23:04:27]

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。

第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:

https://certik.org/projects/paidnetwork

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

DYDX大事件 以太坊柏林升级公告

要点速览 柏林升级准备可以部署了! 我们的推进非常快:第一个升级的测试网是 Ropsten,计划于3月10日升级。主网升级计划在 4 月 14 日进行。 如果你在运行以太坊节点,你应该尽快升级到用于测试网的、兼容柏林的版本,且在 4 月 7 日前升级用于主网的版本。 查看下面兼容柏林的客户端版本以及纳入此次升级的 EIP 的细节。

SAND金色早报 | 摩根大通近日发布34个区块链职位招聘信息

头条 ▌摩根大通近日发布34个区块链职位招聘信息 金色财经报道,摩根大通(JPMorgan)在其网站上发布了34个开放的区块链职位。这些在本月及上个月发布的大部分职位空缺分布在美国、印度和新加坡。许多工作直接与Onyx有关。该部门于去年10月成立,负责监督该银行的批发支付代币JPM Coin。

瑞波币金色早报 | 上海新世界城和新世界大丸百货进行数字人民币红包内测活动

头条 ▌上海新世界城和新世界大丸百货进行数字人民币红包内测活动 3月6日消息,记者在现场了解到,由于上海还未正式列入试点城市,数字人民币在上海仍处于内测阶段,此次数字人民币红包的内测,不仅只限定于提前申请的受邀客户,而且规定了使用时间,仅在3月6日到8日的“女神节”促销期间。“目前只有部分顾客拿到了邀请码,可以在商场使用数字人民币红包。

火币网下载官方app面对加密市场的转型 ZG.COM要如何调整运营策略?

自2020年下半年开始,比特币的价格不断攀升,数次突破历史新高,社会各界再度领略到了“数字黄金”的价值与魅力。传统金融机构和科技巨头的加速入场,让主流市场对加密资产的关注度不断攀升,加密市场的规模急速增长,产业成分与用户群体的结构也在悄然发生变化,交易所平台的运营策略也亟需做出改变。

[0:15ms0-0:624ms