铸币疑云——Paid Network 被盗细节分析

据消息,以太坊 DApp 项目 Paid Network 遭受攻击。攻击者通过合约漏洞铸造近 1.6 亿美元的 PAID 代币,并获利 2000 ETH(约 300 万美元)。慢雾安全团队在第一时间跟进并分析,现在将细节分析给大家参考。

攻击细节分析

以上是整个攻击过程的调用流程细节。

Merit Circle社区发起从社区激励分配中销毁2亿枚MC代币的提案:10月25日消息,链游公会Merit Circle(MC)社区发起关于从社区激励分配中销毁2亿枚MC代币的MIP-20提案。提案投票结束日期为10月26日18:00。

Merit Circle代币MC初始总供应量为10亿美元,分配给社区激励的占比为近30%。提案认为,自从创建社区激励钱包以来,这些代币没有任何效用,也没有被花费。根据Merit Circle MIP-7提案,目前社区激励钱包每月有6125000枚代币被销毁,但钱包8中仍有近2亿个MC代币。[2022/10/25 16:38:25]

可以看到整个攻击过程非常的简单,攻击者通过调用代理合约中函数签名为(0x40c10f19)的这个函数,然后就结束了整个攻击流程。由于这个函数签名未知,我们需要查阅这个函数签名对应的函数是什么。

洪都拉斯的Próspera市和葡萄牙的马德拉地区正在采用比特币:金色财经消息,据Blockstream CSO Samson Mow透露,洪都拉斯的Próspera市和葡萄牙的马德拉地区正在采用比特币。[2022/4/7 14:11:02]

通过查阅这个函数签名,我们发现这个签名对应的正是 mint 函数。也就是说,攻击者直接调用了 mint 函数后就结束了攻击过程。那么到这里,我们似乎可以得出一个 mint 函数未鉴权导致任意铸币的漏洞了。通过 Etherscan 的代币转移过程分析,似乎也能佐证这个猜想。

但是,事实真是如此吗?

为了验证未鉴权任意铸币的这个想法,我们需要分析合约的具体逻辑。由于 Paid Network 使用的是合约可升级模型,所以我们要分析具体的逻辑合约(0xb8...9c7)。但是在 Etherscan 上查询的时候,我们竟然发现该逻辑合约没有开源。

这个时候,为了一探究竟,我们只能使用反编译对合约的逻辑进行解码了。通过 Etherscan 自带的反编译工具,可以直接对未开源合约进行反编译。在反编译后,我们却发现了一个惊人的事实:

通过反编译,我们不难发现,合约的 mint 函数是存在鉴权的,而这个地址,正是攻击者地址(0x187...65be)。那么为什么一个存在鉴权的函数会被盗呢?由于合约未开源,无法查看更具体的逻辑,只能基于现有的情况分析。我们分析可能是地址(0x187...65be)私钥被盗,或者是其他原因,导致攻击者直接调用 mint 函数进行任意铸币。

总结

本次攻击过程虽然简单,但是经过细节分析后却有了惊人的发现。同时这次的攻击也再次对权限过大问题敲响了警钟。如果这次的 mint 函数给到的鉴权是一个多签名地址或是使用其他方法分散权限,那么此次攻击就不会发生。

参考链接:

攻击交易:

https://etherscan.io/tx/0x4bb10927ea7afc2336033574b74ebd6f73ef35ac0db1bb96229627c9d77555a0.htm

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

AAVE金色DeFi日报 | DeFi中锁定资产超400亿美元

DeFi数据 1.DeFi总市值:782.94亿美元 市值前十币种排名数据来源DeFibox DeFi总市值数据来源:Coingecko 2.过去24小时去中心化交易所的交易量:21.7亿美元 过去24小时去中心化交易所的交易量数据来源:Debank 交易量排名前十的DEX 排名来源:DeFibox 3.DeFi借贷平台借款总量:103。

OKB三年磨一剑 Bitget誓做合约领域的破壁人

纵观各行各业,能够成功跻身行业顶端的团队,要么是“大而全”的产业巨鳄,要么是“小而精” 的领域极客。“大而全”强调的是将布局做到全面,打通产业的各个环节,构建庞大的产业体系,“小而精” 则侧重将一个细分的事情做到极致,在特定的领域树立自己的品牌与优势。 Bitget无疑选择的是后者。

币安app下载这篇文章就是一个NFT

作为一个准艺术白痴,写这篇文章是需要勇气的。 忽如一夜春风来(检讨一下,最近经常用这个短语,然而这就是我的真实感受,这个世界变化真快),NFT一下就出圈了。这可不得了,要知道咱们这个行业出圈一向非常困难,btc涨到整数位点,ICO,这两个是过去最能出圈的事件。火了一年的DeFi,硬是没能出圈。而NFT才火了不到一个月。

Ethereum什么是开放艺术?探讨融合区块链技术的新艺术范式

原文标题:《什么是开放艺术?》 开放艺术是一种依托密码学、分布式账本、分布式存储等技术,以创作、流通、收藏等领域的开放为特点的数字艺术。 相较于传统的实体艺术品,开放艺术具有产权明确、可溯源与流通性强的优势。此外,通过引入更具开放性的价值发现机制和交互功能,开放艺术拥有更多的潜在藏家与更为丰富的收藏体验。

[0:0ms0-0:496ms