北京时间2019年05月07日,区块链安全公司Zeppelin对以太坊上的DeFi明星项目MakerDAO发出安全预警,宣称其治理合约存在安全漏洞,希望已锁仓参与投票的用户尽快解锁MKR提并出。MakerDAO的开发者Maker公司亦确认了漏洞存在,并上线了新的治理合约,并宣称漏洞已修复。该安全威胁曝出后,PeckShield全程追踪了MKR代币的转移情况,并多次向社区发出预警,呼吁MKR代币持有者立即转移旧合约的MKR代币。截止目前,绝大多数的MKR代币已经完成了转移,旧治理合约中尚有2,463个MKR代币待转移。05月07日当天,经PeckShield独立研究发现,确认了该漏洞的存在(我们命名为itchyDAO),具体而言:由于该治理合约实现的投票机制存在某种缺陷,允许投票给尚不存在的slate。等用户投票后,攻击者可以恶意调用free()退出,达到减掉有效提案的合法票数,并同时锁死投票人的MKR代币。次日05月08日,PeckShield紧急和Maker公司同步了漏洞细节,05月10日凌晨,MakerDAO公开了新版合约。Zeppelin和PeckShield也各自独立完成了对其新合约的审计,确定新版本修复了该漏洞。在此我们公布漏洞细节与攻击手法,也希望有引用此第三方库合约的其它DApp能尽快修复。细节
宁波保税区首个通证经济产业园正式开园:宁波保税区首个通证经济产业园正式开园,标志着宁波市通证经济由理论探索阶段正式迈入产业实施阶段,区块链“宁波模式”正式起航。宁波保税区通证经济产业园作为保税区金融科技(区块链)产业园的“园中园”,入驻企业同步享受金融科技(区块链)园区相关政策。产业园将以区块链底层技术应用为基础,推动与实体经济深度融合,探索“通证+消费经济”的场景化应用,更好服务产业链、供应链和消费升级,为新发展格局作出积极贡献。宁波通证经济产业园初期定位以区块链技术产业应用为基础,逐步推动产业数字化、数字通证化、通证资产化、资产证券化,并根据国家对数字资产交易的开放进度和规范要求,为中心培育的企业开辟一条数据上市的新路径;同时积极探索引导园区内实现通证化的企业使用区块链化的数字税收系统,成为总部经济税源地。[2020/10/12]
在MakerDAO的设计里,用户是可以通过投票来参与其治理机制,详情可参照DAO的FAQ。以下是关于itchyDAO的细节,用户可以通过lock/free来将手上的MKR锁定并投票或是取消投票:在lock锁定MKR之后,可以对一个或多个提案(address数组)进行投票:注意到这里有两个vote函数,两者的传参不一样(address数组与byte32),而vote(addressyays)最终亦会调用vote(bytes32slate),其大致逻辑如下图所示:简单来说,两个vote殊途同归,最后调用addWeight将锁住的票投入对应提案:可惜的是,由于合约设计上失误,让攻击者有机会透过一系列动作,来恶意操控投票结果,甚致让锁定的MKR无法取出。这里我们假设有一个从未投过票的黑客打算开始攻击:调用lock()锁仓MKR,此时deposits会存入锁住的额度。此时黑客可以线下预先算好要攻击的提案并预先计算好哈希值,拿来做为步骤3的传参,因为slate其实只是address数组的sha3。这里要注意挑选的攻击目标组合必须还不存在于slates中(否则攻击便会失败),黑客亦可以自己提出一个新提案来加入组合计算,如此便可以确定这个组合必定不存在。调用vote(bytes32slate),因为slate其实只是address数组的sha3,黑客可以线下预先算好要攻击的提案后传入。这时因为votes还未赋值,所以subWeight()会直接返回。接下来黑客传入的sha3(slate)会存入votes,之后调用addWeight()。从上方的代码我们可以看到,addWeight()是透过slates取得提案数组,此时slates获取到的一样是未赋值的初始数组,所以for循环不会执行调用etch()将目标提案数组传入。注意etch()与两个vote()函数都是public,所以外部可以随意调用。这时slates就会存入对应的提案数组。调用free()解除锁仓。这时会分成以下两步:deposits=sub(deposits,wad)解锁黑客在1.的锁仓subWeight(wad,votes)从对应提案中扣掉黑客的票数,然而从头到尾其实攻击者都没有真正为它们投过票从上面的分析我们了解,黑客能透过这种攻击造成以下可能影响:一、恶意操控投票结果二、因为黑客预先扣掉部份票数,导致真正的投票者有可能无法解除锁仓时间轴
掌柜调查署丨王东临:区块链用通证经济创造了新的组织形态:在今日的掌柜调查署上,YottaChain创始人王东临发言指出:区块链用通证经济创造了新的组织形态,超越了公司制度。公司是用利润来推动股价上升的,创始团队为了自己的利益为公司赚取利润,让自己的股权能值钱;区块链则通过将所有者、生产者、使用者的统一,用新的方式来推动创业者财富的增长。利用通证将股权属性和商品属性统一,用商品属性的通证的增值来推动股权属性的通证的增值。[2020/3/16]
PeckShield是面向全球顶尖的区块链数据与安全服务提供商。商业与媒体合作,请通过Telegram、Twitter或邮件与我们联系。
动态 | 中国财富出版社新书中以元界DNA为案例介绍通证经济画布:近期,由中国财富出版社出版,谢林俯、法兰克著作的《财富第十波2.0 通证时代的数字黄金》正式发行,书中通过宏观认知通证经济时代未来的发展态势及经济魅力,揭示未来社会经济发展的挑战与机遇。
?
同时,该书以元界DNA为案例,介绍了通证经济画布的作用。书中指出,元界是国内领先的公有区块链,元界DNA以数字身份、数字资产和价值中介为核心,为企业、金融机构、信用机构及产权溯源等领域提供区块链技术解决方案。[2020/1/6]
安恒信息、趣链等6家公司1.03亿元入股杭州数字基金:金色财经消息,安恒信息公司及全资子公司德源安恒与杭州金投企业管理有限公司、杭州金投数字科技集团有限公司、迪安诊断技术集团股份有限公司、紫光恒越(杭州)技术有限公司、杭州趣链科技有限公司、众连智能科技有限公司 6 家企业共同投资杭州数字智汇股权投资基金合伙企业(简称杭州数字基金)(有限合伙)。
据悉,杭州数字基金认缴规模为 1.03 亿元,其中安恒信息作为有限合伙人出资 1573 万元,德源安恒作为普通合伙人、基金管理人暨执行事务合伙人出资 100 万元,合计投资人民币 1673 万元。天眼查上的工商资料显示,杭州数字基金成立于 2021 年 11 月 11 日,注册资本为 9800 万元,杭州市金融投资集团有限公司和杭州金投企业管理有限公司拥有 100% 的股份,其中杭州市金融投资集团有限公司由杭州市人民政府控股。[2022/8/26 12:49:25]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。