PAID事件时间线

PAID Network攻击事件还原

本文由Certik原创。

2021年3月5日,PAID Network遭受了由于私钥管理不善而引起的 "铸币 "攻击。

攻击者使用代理合约私钥,将原先经过CertiK审计的PAID合约代码掉包,添加了销毁(burn)和铸币(mint)的功能函数。

因为PAID代币已达上限,攻击者先销毁(burn)了6000万枚PAID代币,然后再重新铸造了59,471,745枚PAID,并通过Uniswap出售。

CertiK团队第一时间和PAID Network团队沟通调查,确认了原代码并无漏洞,攻击事件是由私钥泄露导致的。目前CertiK团队仍无法确认私钥泄露的原因,但已经可以将整个攻击过程还原。


PAID事件时间线

2021年3月5日,PAID遭受了持续约30分钟的攻击。

通过链上分析,CertiK团队总结了攻击的时间线及操作步骤如下:

第一步:合约所有权被转移给了攻击者,此时攻击者在得到私钥后就已经完全获得了代理合约的控制权。

第二步:攻击者利用代理更新合约,添加了销毁(burn)和铸币(mint)的功能函数。

第三步:攻击者销毁(burn)了6000万枚PAID,留出铸币空间。

第四步:攻击者开始铸币,并向Uniswap倾销PAID代币以换取以太币。

最后,本次事件并没有攻击智能合约的代码本身,而是通过某种渠道获得了代理合约的私钥。

CertiK在审计报告中的PTN-10章节提出了: Ambiguous Functionality (模糊功能)以及其他章节强调了PAID合约中心化的问题。

总结

2021年3月5日,攻击者获得PAID代理合约私钥,替换原有代码,添加了销毁(burn)和铸币(mint)的功能函数。

攻击者之后销毁了6000万枚PAID代币,留出铸币空间。

最后,铸造了59,471,745枚PAID,并通过Uniswap出售了2,401,203枚代币。

客观来看,本次攻击事件中攻击者并没有找到任何原合约的漏洞,而是直接获得了代理合约私钥。

当合约的可升级性作为项目的预期功能而存在时,它在智能合约中确实有其存在的价值。

而这种类型的功能要求合约所有者以及部署者在确保代码基本安全的同时,同样必须保证私钥的安全

CertiK将会在未来更多地强调并关注中心化及私钥保护等相关问题。

复制下方链接至浏览器,查看CertiK于2021年1月24日为PAID Network出具的审计报告:

https://certik.org/projects/paidnetwork

24小时热点

比特币减半:Stock-To-Flow价格预测

antera Capital于2021年1月15日发布202 ...

7932

货币交易平台

详解UNI代币分配

Uniswap协议代币UNI终于正式推出了

58644

大都会资本

热点专题

2020年打假总结:存活近3年 疯狂的“传销币”GEC是怎么苟延残喘至今?

币圈从来不缺乏资金盘或是传销币,但多数都不长久,一夜之间项目 ...

2670566

区块链的作用

2020年打假总结:Pi Network项目的传销性质

曾经,号称“走路就能赚钱”拥有大量用户和广泛影响的国内APP ...

1286642

区块链的作用

骗走了中国人5000亿MBI集团的“易物币”长什么样的

人性终究还是舍弃不掉自己贪婪的一面! 今年10月 ...

598955

区块链的特点是什么

PlusToken正式跑路 你该怎么办?

今天中午,一则消息刷遍了币圈,但是伴随着消息一起传播的,是更 ...

505667

区块链的概念

POC共识机制挖矿必将引发下一轮的挖矿浪潮

随着行情的好转,技术与底层平台的不断更新与完善,区块链应用正 ...

483714

ViaBTC

美国计算机学会:区块链技术到底能做什么?

去年,中国央行区块链研究部门发布了《区块链能做什么,不能做什 ...

435671

啥是区块链

比特大陆宣布推出两款新矿机:蚂蚁 S19和蚂蚁S19 Pro

当比特币区块奖励减半时,所有矿工产生的总收入也将减少一半。如 ...

413651

区块链的含义

NFT艺术品交易所

NFT交易平台可以类比淘宝、闲鱼的商业模式去理解,配合NFT ...

412659

HitBTC交易所

在Mdex上挖矿教程

Mdex是火币生态链上的去中心化交易所,Mdex挖矿于1月1 ...

400640

大都会资本

国内十大骗子排行榜

曾自称是“未来世界首富”的张健在中国被捕后,五行币网站立刻进 ...

396133

区块链中国