内容来自“大橙子&小同的干货铺”的知识星球,作者康纳Repeat。
1. AdminUpgradeabilityProxy天然的负面影响一代理的逻辑合约可以被替换
2.AdminUpgradeabilityProxy权限没有移交timelock一项目方不受时间锁约束,可以随意使用1。所说的能力,替换逻辑合约最终项目方无限制地将正常合约替换成了攻击合约,卷款跑路。
ETH矿工收入达到1个月高点:金色财经报道,Glassnode数据显示,ETH矿工收入刚刚达到1,891,688.09美元的1个月高点,2022年7月20日之前观察到的1个月高点为1,621,802.88美元。[2022/8/11 12:17:09]
1.项目方故意“坦诚”给出合约的timelock转移权限记录,展示的确执行了changeAdmin方法移交权限给timelock 地址,用于混淆视听
ShapeShift CEO:比特币“有”最大化主义是“胡扯”:在迈阿密举行的比特币2021年会议上,ShapeShift CEO Erik Voorhees批评了早些时候一个小组成员称赞比特币“有”最大化主义的评论,说这种想法是“胡扯”。YouTube博主NicoZM称:“我不仅认为比特币性很重要,我还认为这是绝对必要的,如果你反对比特币性,你就是反对比特币,且反对比特币自由。”Voorhees当即对此言论进行驳斥。Voorhees会采取这种立场也在情理之中,因为ShapeShift有一个完全围绕比特币和山寨币建立的基础设施。(Crypto Potato)[2021/6/7 23:17:04]
2.0x7E0c621Ea9F7aFD5b86A50B0942eAee68B04A61C proxy 合约,changeAdmin方法内部调用追踪到304行,实际写入key为ADMIN_ SLOT, 但读取key却为ADMIN_ SLOT。即O (欧)和0 (零)的一个细微差异,让changeAdmin方法完全失效,从而达到了已经移交权限的假象
美国指控俄罗斯网络黑客通过比特币掩盖黑客活动:根据美国检察官周一发布的起诉书,俄罗斯国家网络黑客使用比特币来掩盖其与关键黑客活动“基础设施”的联系,例如服务器和域名。诉讼中提到了俄罗斯国家黑客团队的六名成员,他们涉嫌通过俄罗斯军事单位7445对公司、军队、政府和2018年冬季奥运会的数千名受害者进行了攻击。检察官还声称,他们应对2017年灾难性的“NotPetya”恶意软件攻击负责,该攻击造成了数十亿美元的损失。(coindesk)[2020/10/20]
1.高度警惕任何包含proxy 方式合约的项目,若未经timelock约束,合约有被瞬间替换的风险
2. never trust, always verify! 不要相信项目方给出的timelock“证据”, 对于未经审计的fork项目,务必逐个contract做好与原项目的diff (如果你做到了,就可以躲过meerkat的障眼法)
3.基于1更要养成良好的approve 管理意识,meerkat在跑路后仍然通过无限授权,盗取用户钱包内资产,穷凶极恶。切勿麻痹大意,你永远不知道你曾经授权过的土矿,是否包含proxy模式,是否已经替换了恶意合约!
4. timelock是安全底线,无论是HECO的LLC,还是BSC的popcornswap、meerkat,犯罪方式越发隐蔽的,但万变不离其宗,都是无timelock、假timelock。 珍爱生命,远离无锁土矿
昨天案发后几乎没有看到个人或团队有明确解析,考虑到未来模仿犯罪不可避免,索性公开信息希望做到安全教育的目的。老农务必提高自己的姿势水平,留意此类风险。最后祝大家挖矿出入平安。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。