http://www.7klian.com

PAID事件时间线

CertiK将会在将来更多地强调并存眷中心化及私钥掩护等相关问题。

当合约的可进级性作为项目标预期成果而存在时,它在智能合约中确实有其存在的代价。

2021年3月5日,PAID Network蒙受了由于私钥打点不善而引起的 "铸币 "进攻。

通过链上阐明,CertiK团队总结了进攻的时间线及操纵步调如下:

最后,锻造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

CertiK在审计陈诉中的PTN-10章节提出了: Ambiguous Functionality (恍惚成果)以及其他章节强调了PAID合约中心化的问题。

复制下方链接至欣赏器,查察CertiK于2021年1月24日为PAID Network出具的审计陈诉:

第四步:进攻者开始铸币,并向Uniswap倾销PAID代币以调换以太币。

总结

2021年3月5日,进攻者得到PAID署理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的成果函数。

https://certik.org/projects/paidnetwork

客观来看,,本次进攻事件中进攻者并没有找到任何原合约的裂痕,而是直接得到了署理合约私钥。

第二步:进攻者操作署理更新合约,添加了销毁(burn)和铸币(mint)的成果函数。

而这种范例的成果要求合约所有者以及陈设者在确保代码根基安详的同时,同样必需担保私钥的安详


第三步:进攻者销毁(burn)了6000万枚PAID,留出铸币空间。

因为PAID代币已达上限,进攻者先销毁(burn)了6000万枚PAID代币,然后再从头锻造了59,471,745枚PAID,并通过Uniswap出售。

进攻者之后销毁了6000万枚PAID代币,留出铸币空间。

CertiK团队第一时间和PAID Network团队相同观测,确认了原代码并无裂痕,进攻事件是由私钥泄露导致的。今朝CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个进攻进程还原。

进攻者利用署理合约私钥,将原先颠末CertiK审计的PAID合约代码偷换,添加了销毁(burn)和铸币(mint)的成果函数。

第一步:合约所有权被转移给了进攻者,此时进攻者在获得私钥后就已经完全得到了署理合约的节制权。

最后,本次事件并没有进攻智能合约的代码自己,而是通过某种渠道得到了署理合约的私钥。

PAID事件时间线

2021年3月5日,PAID蒙受了一连约30分钟的进攻。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。