首发 | PAID Network攻击事件还原

本文由Certik原创,授权金色财经首发。

2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。

因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。

Messari创始人:年初至今 Bitstamp上XRP交易量占比为18%:12月23日消息,Messari创始人Ryan Selkis发推表示,如果主要交易所下架XRP,哪个交易所业务受影响较大。年初至今,Bitstamp上XRP交易量占比为18%;Coinbase上XRP交易量占比为8%;Kraken上XRP交易量占比为5.5%。[2020/12/23 16:14:30]

2021年3月5日,PAID遭受了持续约30分钟的攻击。

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

金色热搜榜:OMG居于榜首:根据金色财经排行榜数据显示,过去24小时内,OMG搜索量高居榜首。具体前五名单如下:OMG、WAVES、MXC、REN、TRX。[2020/8/17]

第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。

第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:

https://certik.org/projects/paidnetwork

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

FTTNFT如何帮助独立音乐人拿回「消失」的版税?

我每个月都会把一部分金钱预算放在音乐方面。在新冠疫情之前,我会去看 Live Show、买一些唱片以及订阅流媒体平台。在疫情期间,我把这部分预算花在了 Bandcamp Fridays、NFT 上并且每个月都为那些塑造了纽约市城市灵魂的场所、社区捐款。在如此艰辛的岁月中,音乐是一种慰藉,然而,讽刺的是,那些艺术家们却几乎没有拿到他们本应拿到的收入。

比特币交易NFT碎片化如何改进社交代币?

导读 在前面的文章「NFT的玩法指南」中,我们提到新手参与NFT投资,除了直接买入NFT资产之外,还有一种比较冷门的途径,那就是投资NFT的部分所有权代币,比如NIFTEX 的Sharded NFT,或Metapurse 的B20代币。

比特币价格金色观察丨何时才能发挥整公链系统实用价值?

金色财经 区块链3月3日讯? 2021年刚开篇,加密货币行业就迎来了一个好消息:美国货币监理署(OCC)代理署长布莱恩·布鲁克斯(Brian Brooks)发布了一封解释信函,其中特别澄清美国本土的银行机构、以及联邦储蓄协会可使用公链和稳定币进行结算。

[0:15ms0-3:865ms