SharkTeam揭露了Tornado.Cash的攻击漏洞

OKX欧易app

OKX欧易app

欧易交易所app是全球排名第一的虚拟货币交易所,注册领取6万元盲盒礼包!

APP下载   官网注册

中国北京时间2023年5月20日,Tornado.Cash遭到提案攻击,攻击者已盈利约68万美金。

SharkTeam对于此事展开了技术指标分析,并归纳了安全防护方式,期待新项目能够以此为戒,共铸区块链行业安全屏障。

一、事件分析

攻击者详细地址:- 0x092123663804f8801b9b086b03B98D706f77bD59- 0x592340957eBC9e4Afb0E9Af221d06fDDDF789de9

攻击合约:- 0xAF54612427d97489707332efe0b6290F129DbAcb- 0x03ecf0d22f9ccd21144a7d492cf63b471916497a- 0x7dc86183274b28e9f1a100a0152dac975361353d(布署合约)- 0xc503893b3e3c0c6b909222b45f2a3a259a52752d(假提案合约)

被攻击合约:- 0x5efda50f22d34F262c29268506C5Fa42cB56A1Ce

发起提案买卖:- 0x34605f1d6463a48b818157f7b26d040f8dd329273702a0618e9e74fe350e6e0d

攻击买卖:- 0x3274b6090685b842aca80b304a4dcee0f61ef8b6afee10b7c7533c32fb75486d

攻击步骤:- 最先,攻击者(0x59234095)向被攻击合约(0x5efda50f)发起了一个提案,并声称此提案是16号提案补充。- 但提案中事实上存在一个额外自弃函数公式。- 很遗憾的是小区没有发现提案中的问题,大部分组员都通过了这个提案。- 攻击者创立了多个合约来推行货币的迁移。- 攻击者(0x59234095)销毁了提案合约(0xc503893b)和他的建立合约(0x7dc86183),然后在同样的地址因为布署合约(0x7dc86183)是由create2进行部署的,而假提案合约(0xc503893b)是由create进行部署。在这两个合约都销毁后,由于布署合约(0x7dc86183)的字节码没有变化,所以再次应用create2部署可以在同样地址上部署0x7dc86183,而攻击合约应用create操作码部署,在销毁布署合约(0x7dc86183)后,nonce修复初值,使得攻击合约可以在合约改动的情况下部署在同样地址0xc503893b。而且提案执行是通过delegatecall的方式启用,攻击合约可以随意改动被攻击合约的值。

事情汇总:此次事情发生的主要原因是小区在检查提案时没有发现风险,并没有认真核查提案合约代码的网络安全问题。

二、安全建议

对于此次攻击事情,大家在实施过程中要遵循以下常见问题:- 在开展提案设计时要综合考虑提案体制的安全性,并尽量降低提案被去中心化操纵的风险。可以通过降低攻击者的价值、提高选举权的成本以及提高实施攻击的费用等方式合理设计方案。- 在进行提案的网络投票前,小区应仔细检验合约编码是否存在后门。- 在提案执行之前,可以联系第三方网络安全审计企业对合约逻辑代码进行网络安全审计。

关于我们SharkTeam的美好愿景是全方位维护Web3全球的安全性。我们的精英团队由来自各地的资深安全专业人员和高级科学研究人员构成,熟悉区块链智能合约的底层基础理论,提供专业的智能合约财务审计、链上剖析、应急处置等服务。我们已与Polkadot、Moonbeam、polygon、OKC、HuobiGlobal、imToken、ChainIDE等区块链生态系统的重要参与者建立了长期合作伙伴关系。

官方网站:https://www.sharkteam.orgTwitter:https://twitter.com/sharkteamorgDiscord:https://discord.gg/jGH9xXCjDZTelegram:https://t.me/sharkteamorg转载:驼鸟区块链

本站所有软件信息均由用户上传发布,版权归原著所有。如有侵权/违规内容,敬请来信告知邮箱:764327034@qq.com,我们将及时撤销! 转载请注明出处:https://czxurui.com/zx/98402.html

打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023年11月14日
下一篇 2023年11月14日

相关推荐

  • LON是哪个交易所的币,什么是基于智能合约的原子币币兑换系统

    一、什么是基于智能合约的原子币币兑换系统意思是和传统的中心化交易所相比,imToken的Tokenlon品牌不再是一个中心化的平台,用户实现币币兑换都是基于智能合约完成的,像基于Kyber协议的闪兑,以及基于0x协议的点对点币币兑换功能。一种P2P形式的数字代码,它的创作想法来源

    2024-11-05 06:30:01
    3 0
  • 货币怎么查看ETH地址,如何查区块链合约地址信息

    一、如何查区块链合约地址信息***区块链合约地址查询***怎么查币安代币合约地址登入币安交易所官网,进入首页,点击【钱包】,点一下钱包一览就可看到。此外还有一种方式进入账户,点击【充值】,点击【数字货币】,选择币种,进入充值网络,即可查看钱包地址。截止目前,币安

    2024-11-04 22:00:01
    6 0
  • 合约币怎么挖,以太坊怎么挖矿

    一、以太坊怎么挖矿与所有区块链技术一样,以太坊使用基于激励的安全模型。声称是网络中的矿工的任何节点都可以尝试创建并阻止验证区。世界各地的许多矿工正在同时创建和验证区块。一、以太坊采矿的基本原则1、与所有区块链技术一样,以太坊使用基于激励的安全模型。声称是网

    2024-11-03 20:00:01
    8 0
  • 混合合约怎么收费,合作协议书

    一、猎头公司费用多少猎头公司是收费的。猎头公司收费方式主要有三种,一是按过程收费,二是按结果收费,三是打包收费。1、按照过程收费国际主流大牌猎头公司收费都是按照过程收费,里面含有咨询服务。和审计师、上市承销律师类似,可能人选还没招聘到位呢,服务费已经收了一

    2024-11-02 19:00:02
    9 0
  • 币市合约到底是什么,虚拟币合约是什么意思

    一、数字货币合约是什么什么是永续合约什么是期权合约1、数字货币合约交易是一种数字货币衍生产品,用户可以通过判断涨跌,选择买入做多或卖出做空合约来获取数字货币价格上涨/下降的收益。根据《关于防范代币发行融资风险的公告》,境内没有批准的数字货币交易平台。根据我国

    2024-11-02 15:00:01
    9 0
  • okx合约交易

    本文目次导读:OKX合约交易:若何在OKX平台长进行合约交易OKX合约交易OKX合约交易操做步调OKX合约交易风险办理OKX合约交易技巧OKX合约交易:若何在OKX平台长进行合约交易OKX合约交易OKX是全球领先的数字资产交易平台之一,供给

    2024-05-27 02:30:16
    247 0

发表回复

8206
验证码

评论列表(0条)

    暂无评论

ok交易所
已有100万用户加入ok交易所

立即下载