首发 | PAID Network攻击事件还原

本文由Certik原创,授权金色财经首发。

2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。

因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。

2021年3月5日,PAID遭受了持续约30分钟的攻击。

BSV可扩展测试网络TPS超过9000 创历史记录:近日,BSV可扩展测试网络TPS超过9000,创历史记录。它之前的记录是在2019年12月达到6500 tps。(CoinGeek)[2021/1/29 14:20:48]

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。

第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:

https://certik.org/projects/paidnetwork

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

屎币7年巨亏121亿 却斥资2.6亿狂买BTC、ETH 美图在下什么棋

3月8日,美图秀秀的母公司——港股上市公司美图公司登上了微博热搜,因为该公司高调宣布,购买了4000万美元的以太币和比特币,约合人民币2.6亿元。 随后,美图公司董事长蔡文胜在朋友圈发文称,美图公司继续布局区块链。蔡文胜说:“总要有人第一个吃螃蟹。这应该算香港上市公司第一家购买BTC数字货币吧,也算是全球第一家上市公司把ETH以太坊作为货币价值储备。

火币网下载官方app挖矿有多火?韩国2成网吧关门改挖矿、内蒙古计划关停挖矿登微博热搜

自今年年初以来,挖矿热度居高不下。1月初,原《魔兽世界》代理商第九城市因宣布要去“挖矿”,两个月股价涨超22倍,为此屡登新闻头条;随后,芯片巨头英伟达宣布将重启面向比特币和加密矿机的产品线,扬言为解决持续的挖矿需求…… 为了抢占市场份额,这些大公司正不遗余力的努力。然而这几天,挖矿似乎已经演变成一个社会性的话题。

USDCCoinbase解读:以太坊经济的崛起

作为仅次于比特币的第二大加密货币,以太坊不仅仅是数字货币,它更是数十亿美元经济的基础。从DeFi到数字艺术,我们需要了解以太坊崛起背后的推动力。 2月22日,《纽约时报》商业版上出现了一个异想天开的标题: 为什么一个馅饼形状的动画猫能卖到60万美元。 如果你在2011年经常上网的话,那你肯定认识这只猫。

[0:15ms0-8:497ms