Primer lanzamiento | Restauración de ataques de red PAGADOS

Este artículo fue creado originalmente por Certik y autorizado por Jinse Finance para su publicación.

El 5 de marzo de 2021, PAID Network sufrió un ataque de "minting" causado por una gestión deficiente de la clave privada.

El atacante usó la clave privada del contrato proxy para cambiar el código del contrato PAGADO que había sido auditado por CertiK, y agregó las funciones de grabación (burn) y acuñación (mint).

Debido a que el token PAGADO alcanzó el límite superior, el atacante primero destruyó (quemó) 60 millones de tokens PAGADOS y luego volvió a acuñar 59 471 745 tokens PAGADOS y los vendió a través de Uniswap.

El equipo de CertiK se comunicó e investigó con el equipo de PAID Network de inmediato y confirmó que el código original no tiene lagunas y que el ataque fue causado por la filtración de la clave privada. En la actualidad, el equipo de CertiK aún no puede confirmar el motivo de la filtración de la clave privada, pero ha podido restaurar todo el proceso de ataque.

El 5 de marzo de 2021 PAID sufrió un ataque que duró unos 30 minutos.

Se espera que la nueva red de prueba Ethereum 2.0 Spadina se lance a las 20:00: según el sitio web oficial, la nueva red de prueba Ethereum 2.0 Spadina actualmente promete un total de 32,768 ETH y se espera que se lance a las 20:00 hora de Beijing.

Como se informó anteriormente, se activó la nueva red de prueba Spadina Launchpad. Spadina alcanzó el umbral de validación de 1024 y comenzó a funcionar durante tres días en paralelo con Medalla el 26 de septiembre para una prueba pública. [2020/9/29]

A través del análisis en cadena, el equipo de CertiK resumió la línea de tiempo del ataque y los pasos operativos de la siguiente manera:

Paso 1: La propiedad del contrato se transfiere al atacante. En este momento, el atacante ha obtenido el control completo del contrato de proxy después de obtener la clave privada.

Paso 2: El atacante usa el agente para actualizar el contrato, agregando funciones de grabación y menta.

Paso 3: El atacante quemó (quemó) 60 millones de PAIDs para dejar espacio para la acuñación de monedas.

Paso 4: el atacante comienza a acuñar y descargar tokens PAGADOS en Uniswap a cambio de Ether.

Finalmente, este incidente no atacó el código del contrato inteligente en sí, sino que obtuvo la clave privada del contrato proxy a través de algún canal.

CertiK propuso en el capítulo PTN-10 del informe de auditoría: Funcionalidad ambigua (función difusa) y otros capítulos enfatizaron el problema de la centralización de contratos PAGADOS.

El 5 de marzo de 2021, el atacante obtuvo la clave privada del contrato de proxy PAGADO, reemplazó el código original y agregó funciones de grabación y menta.

Luego, el atacante destruyó 60 millones de tokens PAGADOS para dejar espacio para la acuñación.

Al final, se acuñaron 59 471 745 PAID y se vendieron 2 401 203 tokens a través de Uniswap.

Hablando objetivamente, en este ataque, el atacante no encontró lagunas en el contrato original, sino que obtuvo directamente la clave privada del contrato proxy.

Cuando la capacidad de actualización del contrato existe como una función esperada del proyecto, tiene su propio valor en los contratos inteligentes.

Y este tipo de función requiere que el propietario del contrato y el implementador garanticen la seguridad de la clave privada al mismo tiempo que garantizan la seguridad básica del código.

CertiK enfatizará y prestará más atención a temas relacionados como la centralización y la protección de claves privadas en el futuro.

Copie el siguiente enlace en su navegador para ver el informe de auditoría emitido por CertiK para PAID Network el 24 de enero de 2021:

https://certik.org/projects/paidnetwork

Tags：

Luna