火星链 火星链
Ctrl+D收藏火星链
首页 > 莱特币 > 正文

AME:600万美元损失 去中心化音乐平台Audius攻击事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年7月23日,CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击,损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置,然后提出并执行了一个恶意提案,导致Audius合约将1850万AUDIO代币转移给攻击者。

大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。

Web3社交应用orb新增创作者收入分析板块:5月30日消息,Web3 社交应用 orb 新增创作者收入分析板块,可查看任何 Lens 帐户的概览信息,包括收入、最大支持者、表现最好的帖子。[2023/5/30 11:47:35]

攻击步骤

①?攻击者调用Audius治理合约中的initialize()函数来修改配置,如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护,不应该被多次调用。

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

Game Space与Harmony达成战略合作,布局GameFi市场:10月26日消息,据官方推特,Game Space宣布与公链Harmony达成战略合作。双方将通过Game Space的SDK共同促成更多3A级高质量的GameFi部署在Harmony,并推动更多游戏玩家迈向GameFi世界。

Game Space表示,Harmony作为MetaFi時代的重要区块链生态系统与门户,适合GameFi、SocialFi和元宇宙等大规模应用部署。希望通过与Harmony合作,吸引大型游戏公司进入MetaFi時代。Harmony的优势是超低gas费、2秒确认的高速交易,以及分片技术的可扩展性,和Game Space一起为用户带来更流畅的游戏体验,加速GameFi行业的发展。[2022/10/26 11:44:54]

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

推广数字货币赋能社会信用数据治理的建议:8月1日消息,中国经济时报发文称,进入新发展阶段,建议我国分区域分行业多途径推进推广数字货币,打通信用数据融合应用通道,破除信用业态的数据壁垒,发挥信用大数据集聚优势,推动形成信用数据融合应用的新格局。应把握以下三个方面的举措。

一是加强制度供给与制度创新,奠定推广数字货币的法治和政策保障基础。

二是加强数字货币应用场景的建设,分区域分行业推广法定数字货币。三是积极宣传法定数字货币,增强社会普遍可接受性。法定数字货币在网络上流通,必须遵守法定数字货币网络支付规则,包括收付款程序和规则以及存储设备使用规则等。要求收付款人双方交易行为和意图合法诚信,不允许欺诈行为发生。权利人要妥善保管数字货币存储设备和私钥,防止他人冒充权利人造成自身财产损失。[2022/8/1 2:50:15]

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

美债市场预测美联储明年将降息50个基点 利率料在年初见顶:6月30日消息,债券市场周三转向预测美联储将在2023年某个时候降息50个基点,越来越多交易员押注美国经济衰退将使美联储暂停大幅加息脚步。市场对通胀的预期与汽油价格一起急剧下跌,股市的痛苦引发了对美国国债的兴趣,收益率全线承压。与明年美联储会期挂钩的利率掉期显示,交易员预计到明年12月利率将接近3.11%,比预估在3月份达到的3.62%顶部下降了逾50基点。美国国债收益率全线下跌5-7个基点。5年期通胀保值债券的盈亏平衡利率下跌多达14个基点,至2.61%。(金十)[2022/6/30 1:40:21]

Optimism的2.31亿枚OP激励基金现已开放申请:6月9日消息,以太坊二层扩容网络Optimism的OP Stimpack(治理基金第一阶段)现已开放申请,该2.31枚OP赠款计划旨在资助OP生态系统中的建设者和项目,资金将通过TokenHouse投票分配。TokenHouse投票过程将以两周为周期运行。投票周期1于6月9日至6月22日运行,将对Gov Fund第0阶段提案进行投票,即将数百万枚OP分配给自第一天以来一直在推动OP增长的项目;第2轮投票周期为6月23日至7月6日,将对新的Gov Fund第1阶段提案进行投票。另外,Optimism还将3500万枚OP投票权委托给整个生态系统中的数十个个人和团体。5月初,Optimism宣布建立为Optimism上项目提供资金的基金OP Stimpack,Optimism将为该基金分配2.31亿枚OP,并将启动面向建设者的空投。首先将通过项目的TVL以及每日交易量决定项目可以申领的OP代币数量,之后将向任何符合Optimism愿景的项目开放,该阶段将在首轮追溯空投发放后启动。[2022/6/9 4:14:31]

②?攻击者提交了恶意提案,该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻击者执行了恶意提案,获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻击者售出1850万AUDIO代币,获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

漏洞分析

CertiK安全团队在调查中,试图找出攻击者是如何多次调用initialize()的。

分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。

为了解决这个问题,Audius做出了相应调整:

①?修改了逻辑合约的存储结构:

②?限制了可以调用initialize()函数的权限:

资金去向

攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

约700ETH被转移到攻击者地址当中:https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

写在最后

在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中,显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用,其攻击事件相比其它小分类来说,数量较少,但往往具备更大的破坏性。

本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外,CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。

来源:金色财经

标签:AUDETHAMEGAMEAUDT币Ethereum ApexGamesPadHiGameCoin

莱特币热门资讯
RAKE:英特尔锐炫独显确认暂不支持挖矿

IT之家?7月20日消息,英特尔锐炫Arc独立显卡的当前驱动程序针对新游戏进行了优化,此外还有一个好消息,英特尔独显暂不支持挖矿.

1900/1/1 0:00:00
比特币:比特币熊市简史

比特币在2022年经历了有史以来最残酷的一次下跌,价格在2021年达到68000美元的峰值之后,于今年6月跌破20000美元.

1900/1/1 0:00:00
RAD:可信协议上线在即 NFT首发进行时

交易网络协议(Tradingnetworkprotocol)是交易网络和社区自治的集合,我们称这些市场和社 欧盟金融服务主管:鼓励监管机构密切关注加密货币:金色财经报道.

1900/1/1 0:00:00
CAD:3D元宇宙平台LightCycle登陆元宇宙协议Caduceus生态

文章编译自Cointelegraph2022年7月22日,LightCycle作为元宇宙协议Caduceus孵化的第一个元宇宙平台,正式登陆Caduceus元宇宙生态.

1900/1/1 0:00:00
RACE:世界杯来了MeRace的MER也跟着来了

今年的世界杯已经越来越近了,你们准备好了吗?世界杯的到来,市场上也出现了各种的足球币,可是我们怎么分析这些哪个是可以的,哪个是不可以的?别的我们不说,今天就主要来说说MeRace这个足球.

1900/1/1 0:00:00
BLOCK:BlockFi 加密货币的财富

BlockFi是一个专注于加密货币的财富生成平台,提供一系列产品和服务,包括BlockFi信用卡和BlockFi钱包.

1900/1/1 0:00:00