Primer lanzamiento | Restauración de ataques de red PAGADOS

Este artículo fue creado originalmente por Certik y autorizado por Jinse Finance para su publicación.

El 5 de marzo de 2021, PAID Network sufrió un ataque de "minting" causado por una gestión deficiente de la clave privada.

El atacante usó la clave privada del contrato proxy para cambiar el código del contrato PAGADO que había sido auditado por CertiK, y agregó las funciones de grabación (burn) y acuñación (mint).

Debido a que el token PAGADO alcanzó el límite superior, el atacante primero destruyó (quemó) 60 millones de tokens PAGADOS y luego volvió a acuñar 59 471 745 tokens PAGADOS y los vendió a través de Uniswap.

Baidu Apollo presenta la serie "Apollo 001" de colecciones digitales conmemorativas: Jinse Finance informó que, según la cuenta pública oficial de la conducción inteligente de Baidu Apollo, Baidu Apollo lanzó la primera serie "Apollo 001" de colecciones digitales conmemorativas en toda la red. corresponde a un hito importante en la conducción autónoma de Baidu Apollo. Se informa que la colección digital lanzará el lanzamiento aéreo del retrato familiar de la familia de robots de automóviles a las 09:55 el 8 de julio de 2022. [2022/7/7 1:58:19]

El equipo de CertiK se comunicó e investigó con el equipo de PAID Network de inmediato y confirmó que el código original no tiene lagunas y que el ataque fue causado por la filtración de la clave privada. En la actualidad, el equipo de CertiK aún no puede confirmar el motivo de la filtración de la clave privada, pero ha podido restaurar todo el proceso de ataque.

Primer lanzamiento | imKey admite oficialmente Filecoin, convirtiéndose en el primer lote de billeteras de hardware de Filecoin: el 1 de diciembre, con el lanzamiento de imToken 2.7.2, imKey admite Filecoin simultáneamente, convirtiéndose en el primer lote de billeteras de hardware en la industria en admitir oficialmente FIL. Como uno de los proyectos prioritarios respaldados por la cadena múltiple de imKey, Filecoin se ha convertido en la quinta cadena pública después de las cuatro cadenas públicas de BTC, ETH, EOS y COSMOS.

Se informa que el equipo de imKey lanzó por completo el plan de soporte de cadenas múltiples en el cuarto trimestre, planeando implementar todos los proyectos de cadenas públicas que imToken ha respaldado. Esta actualización de actualización de imKey no necesita reemplazar el hardware, no implica actualizaciones de firmware y puede actualizarse automáticamente a través de la aplicación (Applet) Darse cuenta del soporte de imKey para Filecoin y la gestión de tokens de FIL. [2020/12/2 22:52:32]

El 5 de marzo de 2021 PAID sufrió un ataque que duró unos 30 minutos.

Primer lanzamiento | Exposición de rendimiento de Antminer S17 Uso de nueva tecnología de disipación de calor y esquema de personalización de optimización global: Jinjin Finance News, hace unos días, la próxima exposición de rendimiento de Antminer S17 de Bitmain. Según Moments, gerente de producto de Antminer S17, el nuevo producto adoptará una nueva generación de tecnología de disipación de calor y soluciones globales de optimización y personalización. Se entiende que la tecnología de disipación de calor puede referirse a la tecnología de empaque del chip, o puede ser el diseño de la estructura de disipación de calor de la máquina. En cuanto al plan de "optimización y personalización global" del producto S17, no se revelaron detalles. Hay voces que comentan que esto puede ser una preparación para la batalla decisiva de la temporada de lluvias. [2019/3/22]

A través del análisis en cadena, el equipo de CertiK resumió la línea de tiempo del ataque y los pasos operativos de la siguiente manera:

Paso 1: La propiedad del contrato se transfiere al atacante. En este momento, el atacante ha obtenido el control completo del contrato de proxy después de obtener la clave privada.

Paso 2: El atacante usa el agente para actualizar el contrato, agregando funciones de grabación y menta.

Paso 3: El atacante quemó (quemó) 60 millones de PAIDs para dejar espacio para la acuñación de monedas.

Paso 4: el atacante comienza a acuñar y descargar tokens PAGADOS en Uniswap a cambio de Ether.

Finalmente, este incidente no atacó el código del contrato inteligente en sí, sino que obtuvo la clave privada del contrato proxy a través de algún canal.

CertiK propuso en el capítulo PTN-10 del informe de auditoría: Funcionalidad ambigua (función difusa) y otros capítulos enfatizaron el problema de la centralización de contratos PAGADOS.

El 5 de marzo de 2021, el atacante obtuvo la clave privada del contrato de proxy PAGADO, reemplazó el código original y agregó funciones de grabación y menta.

Luego, el atacante destruyó 60 millones de tokens PAGADOS para dejar espacio para la acuñación.

Al final, se acuñaron 59 471 745 PAID y se vendieron 2 401 203 tokens a través de Uniswap.

Hablando objetivamente, en este ataque, el atacante no encontró lagunas en el contrato original, sino que obtuvo directamente la clave privada del contrato proxy.

Cuando la capacidad de actualización del contrato existe como una función esperada del proyecto, tiene su propio valor en los contratos inteligentes.

Y este tipo de función requiere que el propietario del contrato y el implementador garanticen la seguridad de la clave privada al mismo tiempo que garantizan la seguridad básica del código.

CertiK enfatizará y prestará más atención a temas relacionados como la centralización y la protección de claves privadas en el futuro.

Copie el siguiente enlace en su navegador para ver el informe de auditoría emitido por CertiK para PAID Network el 24 de enero de 2021:

https://certik.org/projects/paidnetwork

Tags：

DOT