SharkTeam揭露了Tornado.Cash的攻击漏洞

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

中国北京时间2023年5月20日,Tornado.Cash遭到提案攻击,攻击者已盈利约68万美金。

SharkTeam对于此事展开了技术指标分析,并归纳了安全防护方式,期待新项目能够以此为戒,共铸区块链行业安全屏障。

一、事件分析

攻击者详细地址:- 0x092123663804f8801b9b086b03B98D706f77bD59- 0x592340957eBC9e4Afb0E9Af221d06fDDDF789de9

攻击合约:- 0xAF54612427d97489707332efe0b6290F129DbAcb- 0x03ecf0d22f9ccd21144a7d492cf63b471916497a- 0x7dc86183274b28e9f1a100a0152dac975361353d(布署合约)- 0xc503893b3e3c0c6b909222b45f2a3a259a52752d(假提案合约)

被攻击合约:- 0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce

发起提案买卖:- 0x34605f1d6463a48b818157f7b26d040f8dd329273702a0618e9e74fe350e6e0d

攻击买卖:- 0x3274b6090685b842aca80b304a4dcee0f61ef8b6afee10b7c7533c32fb75486d

攻击步骤:- 最先,攻击者(0x59234095)向被攻击合约(0x5efda50f)发起了一个提案,并声称此提案是16号提案补充。- 但提案中事实上存在一个额外自弃函数公式。- 很遗憾的是小区没有发现提案中的问题,大部分组员都通过了这个提案。- 攻击者创立了多个合约来推行货币的迁移。- 攻击者(0x59234095)销毁了提案合约(0xc503893b)和他的建立合约(0x7dc86183),然后在同样的地址因为布署合约(0x7dc86183)是由create2进行部署的,而假提案合约(0xc503893b)是由create进行部署。在这两个合约都销毁后,由于布署合约(0x7dc86183)的字节码没有变化,所以再次应用create2部署可以在同样地址上部署0x7dc86183,而攻击合约应用create操作码部署,在销毁布署合约(0x7dc86183)后,nonce修复初值,使得攻击合约可以在合约改动的情况下部署在同样地址0xc503893b。而且提案执行是通过delegatecall的方式启用,攻击合约可以随意改动被攻击合约的值。

事情汇总:此次事情发生的主要原因是小区在检查提案时没有发现风险,并没有认真核查提案合约代码的网络安全问题。

二、安全建议

对于此次攻击事情,大家在实施过程中要遵循以下常见问题:- 在开展提案设计时要综合考虑提案体制的安全性,并尽量降低提案被去中心化操纵的风险。可以通过降低攻击者的价值、提高选举权的成本以及提高实施攻击的费用等方式合理设计方案。- 在进行提案的网络投票前,小区应仔细检验合约编码是否存在后门。- 在提案执行之前,可以联系第三方网络安全审计企业对合约逻辑代码进行网络安全审计。

关于我们SharkTeam的美好愿景是全方位维护Web3全球的安全性。我们的精英团队由来自各地的资深安全专业人员和高级科学研究人员构成,熟悉区块链智能合约的底层基础理论,提供专业的智能合约财务审计、链上剖析、应急处置等服务。我们已与Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等区块链生态系统的重要参与者建立了长期合作伙伴关系。

官方网站:https://www.sharkteam.orgTwitter:https://twitter.com/sharkteamorgDiscord:https://discord.gg/jGH9xXCjDZTelegram:https://t.me/sharkteamorg转载:驼鸟区块链

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/98402.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年11月14日
下一篇 2023年11月14日

相关推荐

  • 比特币合约如何平仓,比特币合约已亏百分之160了不知道平不平仓

    一、什么是比特币期货合约比特币期货合约,通常是以比特币价格指数为标的的标准化合约。比特币交易所提供的比特币期货通常是以比特币进行交易的。期货是与现货相对的,现货是实实在在可以一手交钱一手交货的商品,而期货其实不是“货”,是承诺未来一个时间交“货”(标的)的

    2024-11-21 15:00:02
    3 0
  • 比特币智能合约怎么查,怎么查询所有区块链公链

    一、怎么查询所有区块链公链公链在哪里查询公链在浏览器查询。随着区块链的大热,越来越多的科技公司开始研究和开发区块链。在区块链迅速发展的同时,也有少部分项目方打着区块链的名号,在市面上进行招摇撞骗。如何判断公链真假,对于现在许多想要进行数字货币交易的群体来说

    2024-11-21 11:30:01
    2 0
  • 比原链钱包地址怎么写,如何查区块链合约地址信息

    一、区块链地址怎么查(区块链地址怎么查询平台)如何通过区块链资产地址(数字钱包地址)查看该地址的区块链资产(数字货币)?用区块链浏览器就可以查看。在搜索输入框内输入想查询的钱包地址,如果你输入的地址不完整,但是这个地址之前有在区块链上进行过ETH交易或者被查询

    2024-11-20 14:00:01
    3 0
  • 区块链 如何删除合约,什么叫区块链合约

    一、什么叫区块链合约区块链合约层是什么如果说数据、网络和共识三层,分别承担了区块链底层数据表示、数据传播和数据验证功能的话,合约层则是封装各类脚本代码、算法以及更为复杂的智能合约,是区块链系统实现灵活编程和操作数据的基础。作为一种自我执行的协议,智能合约被

    2024-11-20 01:30:01
    7 0
  • 虚拟货币地址怎么查询,如何查区块链合约地址信息

    一、如何知道是哪个区块链平台,怎么查询区块链是不是公链怎么查别人区块链信息1.如果是查询账户余额、账户的历史交易数据等信息,建议直接输入钱包地址查询;如果是查询某笔转账的相关信息,比如是否到账、进展如何,输入交易ID是最方便的。当然了,区块链浏览器不仅可以查询自己的

    2024-11-17 13:30:02
    9 0
  • 时代合约如何交易平台,什么是区块链合约交易

    一、如何知道期货是被骗了看投资之后亏损情况以及平台交易情况。1、根据资质来选择。一个正规的平台商是要求在相关交易所取得相关的资质证明的,所有大家选择平台的时候一定要得到他们的资质证明,没有证明的肯定都是假平台。2、服务很重要。期货的交易规则就是24小时T+0多空

    2024-11-16 01:30:02
    11 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载