AID:首发 | PAID Network攻击事件还原

本文由Certik原创，授权金色财经首发。

2021年3月5日，PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。

攻击者使用代理合约私钥，将原先经过CertiK审计的PAID合约代码掉包，添加了销毁（burn）和铸币（mint）的功能函数。

因为PAID代币已达上限，攻击者先销毁（burn）了6000万枚PAID代币，然后再重新铸造了59,471,745枚PAID，并通过Uniswap出售。

LBank蓝贝壳于4月10日01:00首发 BOSON，开放USDT交易:据官方公告，4月10日01:00，LBank蓝贝壳首发BOSON(Boson Protocol)，开放USDT交易，4月9日23:00开放充值，4月12日16:00开放提现。上线同一时间开启充值交易BOSON瓜分10,000 USDT。

LBank蓝贝壳于4月10日01:00开启充值交易BOSON瓜分10,000 USDT。用户净充值数量不少于1枚BOSON ，可按净充值量获得等值1%的BOSON的USDT奖励；交易赛将根据用户的BOSON交易量进行排名，前30名可按个人交易量占比瓜分USDT。详情请点击官方公告。[2021/4/7 19:54:33]

CertiK团队第一时间和PAID Network团队沟通调查，确认了原代码并无漏洞，攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因，但已经可以将整个攻击过程还原。

首发 | 火币集团全球业务副总裁：监管将决定区块链技术和加密货币的落地速度:1月21日，火币集团全球业务副总裁Ciara Sun在达沃斯世界经济论坛上表示，对区块链和数字货币的监管态度，2019年是重要的一年。在美国，到2019年底，针对加密货币和区块链政策有21项法案，这些法案包括税收问题，监管结构，跟踪功能和ETF批准，哪些联邦机构监管数字资产等。欧盟（EU）在2020年1月10日实施了一项新法律，要求加密货币平台采取更严格的反做法。瑞士，日本，立陶宛，马耳他和墨西哥通过法律，要求交易所必须根据KYC和AML准则获得许可。中国，土耳其，泰国等国家正在计划自己的中央银行数字货币（CBDC）。而监管将决定区块链技术和加密货币的落地速度。[2020/1/22]

2021年3月5日，PAID遭受了持续约30分钟的攻击。

公告 | 火币全球站6月29日16:00全球首发 Project PAI:火币全球站定于新加坡时间6月29日16:00 Project PAI (PAI) 充值业务。7月2日16:00在创新区开放PAI/BTC, PAI/ETH交易。7月6日16:00开放 PAI提现业务。[2018/6/29]

通过链上分析，CertiK团队总结了攻击的时间线及操作步骤如下：

第一步：合约所有权被转移给了攻击者，此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步：攻击者利用代理更新合约，添加了销毁（burn）和铸币（mint）的功能函数。

第三步：攻击者销毁（burn）了6000万枚PAID，留出铸币空间。

第四步：攻击者开始铸币，并向Uniswap倾销PAID代币以换取以太币。

最后，本次事件并没有攻击智能合约的代码本身，而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality （模糊功能）以及其他章节强调了PAID合约中心化的问题。

2021年3月5日，攻击者获得PAID代理合约私钥，替换原有代码，添加了销毁（burn）和铸币（mint）的功能函数。

攻击者之后销毁了6000万枚PAID代币，留出铸币空间。

最后，铸造了59,471,745枚PAID，并通过Uniswap出售了2,401,203枚代币。

客观来看，本次攻击事件中攻击者并没有找到任何原合约的漏洞，而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时，它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时，同样必须保证私钥的安全。

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器，查看CertiK于2021年1月24日为PAID Network出具的审计报告：

https://certik.org/projects/paidnetwork

标签：PAIAIDPAIDTIKProject SenpaiAIDOGEX币PAID价格Kromatika

欧易okex官网热门资讯