🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

PAID Network攻击事件还原

CertiK CertiK 2022-06-07
收录于合集
#区块链 133 个
#安全 158 个
#CertiK 142 个
2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。
攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。
因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。
CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。
 
PAID事件时间线
2021年3月5日,PAID遭受了持续约30分钟的攻击。
通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:
第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。
第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。
第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。
第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。
最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。
CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。

总结
2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。
攻击者之后销毁了6000万枚PAID代币,留出铸币空间。
最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。
客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。
当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。
而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全
CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:
https://certik.org/projects/paidnetwork

往期回顾

CertiK携手币安智能链,打造安全链上未来

CertiK已完成对一站式DeFi金融平台dForce借贷协议的审计

CertiK已与印尼首家合规数字资产交易平台Tokocrypto达成战略合作

干货分享 | 避免项目方欺诈?10条硬核准则,拿走不谢!

CertiK与火币生态链Heco达成战略合作,助力区块链生态安全

重磅 | CertiK中国区总部落户苏州,并作为重大科技项目签约苏州工业园区!

Yearn.Finance惊爆漏洞,DeFi再遭打击,一文带你探明事件始末!

继蛋壳崩坏,难道自如也要走上这一步?Stacktical携手CertiK,共同保卫DeFi生态安全

Base Protocol与CertiK达成战略合作,助力端到端安全解决方案

Harmony联合CertiK安全预言机,为安全DeFi生态系统赋能


请点击“阅读原文”访问CertiK官网文章

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存