北京时间3月14日,CertiK安全技术团队发现DeFi稳定币项目TrueSeigniorageDollar发生新型攻击事件,总损失高达约1.66万美金。此次攻击事件中攻击者利用了去中心化组织(DAO)的机制原理,完成了一次不借助"漏洞"的攻击。技术分析
整个攻击流程如下:①攻击者(地址:0x50f753c5932b18e9ca28362cf0df725142fa6376)通过低价收购大量TrueSeigniorageDollar项目代币TSD,然后利用大量的投票权,强行通过2号提案。
Coinbase:为了进一步加快采用速度,行业需要简化投资概念,提高可及性:金色财经报道,Coinbase Institutional发推称,机构一直在加速采用数字资产,特别是与他们开始使用衍生品所花费的时间相比,为了进一步加快采用速度,行业需要简化投资概念,提高可及性,并将技术更好地集成到现有系统中。不同国家监管特殊资产类别的方式一直存在差异。但是,国家与国家之间的差异从来没有像今天的加密货币那样大。
此外,BTC 和 ETH 上周都在今年最窄的区间内交易,并且实现了各自的 30 天波动率均降至 36% 左右。在宏观方面,我们的研究团队认为,在市场关注债务上限的同时,美国银行体系的动荡更值得关注。我们的交易团队认为,如果美国在没有就提高债务上限达成协议的情况下接近违约边缘,BTC 可能会突破其交易区间。[2023/5/25 10:38:24]
Robinhood:禁止加密资产存取交易是为了防止客户蒙受损失:7月2日消息,美国在线交易平台Robinhood正准备进行首次公开募股(IPO),其提交给美国证券交易委员会(SEC)的文件阐述了该公司目前不允许用户在其平台上存储和提取加密资产的原因。Robinhood也重申,他们可能会在未来改变这一政策。
该公司表示,允许客户存取加密货币资产,可能导致客户资产蒙受损失,产生客户纠纷及负债,这将严重影响公司的业务、财务状况和行为结果。监管方面的担忧在该平台的政策中发挥着重要的决策作用。Robinhood 目前为有限数量的加密货币提供了一个交易平台,该公司称已经“根据适用的内部政策和程序进行了分析,并且认为这些加密货币不是美国证券法规定的证券”。(Cryptonews)[2021/7/2 0:23:43]
图1:TSD项目2号提案的目标(恶意)代币实现合约以及提案人信息②在2号提案中,攻击者提议并通过了将位于0xfc022cda7250240916abaa935a4c589a1f150fdd地址的代理合约指向的实际TSD代币合约地址,改为攻击者通过另外地址0x2637d9055299651de5b705288e3525918a73567f部署的恶意代币实现合约。恶意代币实现合约地址:0x26888ff41d05ed753ea6443b02ada82031d3b9fb
声音 | 平安金融陆一帆:区块链的价值就是为了打破数据孤岛:12月20日,由华夏时报社主办的“华夏机构投资者年会暨第十三届金蝉奖颁奖盛典”在北京举行,平安金融壹账通区块链业务部总经理陆一帆在发表主题演讲时表示,区块链的价值就是为了打破数据孤岛,使数据可溯源、可穿透、可验证。但长久以来,区块链领域还存在诸多问题。
陆一帆指出,虽然互联网打破了信息孤岛,但数据共享很容易导致隐私泄露。所以,没有一家金融公司会数据共享给另外一家金融公司,数据共享是根本不存在的一种假设。另外,如果为了保护隐私而将区块链拆成很多个分链,实际上就等于重新制造数据孤岛,最后将变成消除区块链价值的利器。(华夏时报)[2019/12/23]
声音 | 李启威:“我创建LTC是为了好玩”:据AMBcrypto消息,Litecoin创始人李启威(Charlie Lee)在YouTube视频采访中表示,“我创建Litecoin主要是为了好玩。我想模仿比特币和莱特币的黄金和白银关系,其中比特币和莱特币有良好的存储价值,莱特币也有良好的支付功能。“李启威进一步承认,他从未预料到Litecoin自成立以来一直保持其交易价值。他将山寨币的增长归因于比特币的牛市行情和较慢的交易速度,以及SegWit的激活。此外,他还强调了这样一个事实:没有任何数字货币可以代币“所有人和事”。[2019/6/5]
图2:代理合约指向的代币实现合约通过2号提案被替换为恶意代币实现合约
图3:攻击者利用所持地址之一建立恶意代币实现合约③当2号提案被通过后,攻击者利用地址0x50f753c5932b18e9ca28362cf0df725142fa6376,实施确定提案中包含的新代币实现合约地址0x26888ff41d05ed753ea6443b02ada82031d3b9fb。
图4:攻击者利用所持地址之一确定2号提案,并向所持另一地址铸造巨额TSD代币④同时,位于0x26888ff41d05ed753ea6443b02ada82031d3b9fb地址的恶意合约中的initialize()方法也会在升级过程中被调用。通过反编译恶意合约,可以得知恶意合约的initialize()方法会将约116亿枚TSD铸造给攻击者的另外一个地址0x2637d9055299651de5b705288e3525918a73567f。
图5:代理合约合约在升级代币实现合约的时候会同时调用initialize()方法
图6:反编译恶意代币实现合约中initialize()方法向攻击者地址铸造代币⑤当以上攻击步骤完成后,攻击者将所得TSD代币转换成BUSD,获利离场。
图7:攻击者将116亿TSD代币通过PancakeSwap交易为BUSD总结
此次攻击完全没有利用任何TSD项目智能合约或Dapp的漏洞。攻击者通过对DAO机制的了解,攻击者低价持续的购入TSD,利用项目投资者由于已经无法从项目中获利后纷纷解绑(unbond)所持代币之后无法再对提案进行投票的机制,并考虑到项目方拥有非常低的投票权比例,从而以绝对优势"绑架"了2号提案的治理结果,从而保证其恶意提案被通过。虽然整个攻击最后是以植入后门的恶意合约完成的,但是整个实施过程中,DAO机制是完成该次攻击的主要原因。CertiK安全技术团队建议:从DAO机制出发,项目方应拥有能够保证提案治理不被"绑架"的投票权,才能够避免此次攻击事件再次发生。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。