2018年7月25日晚10点15分(UTC时间)黑客对KICKICO平台进行攻击,窃取了价值 770 万美元的数字货币。黑客首先设法窃取了 KICKICO 智能合约控制的加密密钥,然后销毁现有的数字货币并创造同等量的新币到黑客控制的地址,由于这种方法没有改变已发行的 KICKICO 令牌的数量,从而绕过了 KICKICO 的风控系统。
攻击实例分析:
结合 KickCoin智能合约代码(合约地址: https://etherscan.io/address/0x27695e09149adc738a978e9a678f99e4c39e9eb9
)和攻击事件前后的交易事件日志分析,降维安全实验室(johnwick.io)发现攻击者使用合约拥有者的身份在2018-07-25 10:15:40 PM +UTC通过调用合约的destroy()函数(此函数owner可以调用!)
销毁了 0x8184d4ffc09369dcd5e018eefa054e6bb597aca4地址约9680128个KickCoin通证,时价约160万美元。
然后在 2018-07-25 10:17:33 PM +UTC,即销毁KickCoin通证几分钟后,攻击者通过调用issue()函数。
给攻击者控制的地址 0x6e808fc8786988695332f5a95721b1a5a3209ef3发行了与销毁数量完全一致的通证,从而在不改变_totalSupply(即KickCoin总发行量)的情况下,绕过了平台发行方的总发行量监测预警,实现了token的窃取。
降维安全认为:
1、项目平台方需要妥善保管好智能合约的拥有者密钥,一旦密钥失窃,会造成无法估量的损失。
2、项目平台方除了对token通证总量进行监控外,也需要对关键操作如转账、销毁通证等进行事件记录和监控,防止黑客通过各种恶意操作绕过监控。
注:降维安全实验室 (johnwick.io)开发了针对以太坊交易的独特监控系统,能对全网交易和通证事件进行记录,并通过人工智能规则,对可疑交易和事件进行预警。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
C++数值算法(第二版)
William T.Vetterling、Brian P.Flannery、Saul A.Teukolsky / 胡健伟、赵志勇、薛运华 / 电子工业出版社 / 2005年01月 / 68.00
本书选材内容丰富,除了通常数值方法课程的内容外,还包含当代科学计算大量用到的专题,如求特殊函数值、随机数、排序、最优化、快速傅里叶变换、谱分析、小波变换、统计描述和数据建模、常微分方程和偏微分方程数值解、若干编码算法和任意精度的计算等。 本书科学性和实用性统一。每个专题中,不仅对每种算法给出了数学分析和比较,而且根据作者的经验对算法做出了评论和建议,并在此基础上给出了用C++语言编写的实用程......一起来看看 《C++数值算法(第二版)》 这本书的介绍吧!