黑客窃取价值770万美元数字货币 项目方应加强安全管控
2018-08-03 15:02
来源: 降维安全
8316
2018年7月25日晚10点15分(UTC时间)黑客对KICKICO平台进行攻击,窃取了价值 770 万美元的数字货币。黑客首先设法窃取了 KICKICO 智能合约控制的加密密钥,然后销毁现有的数字货币并创造同等量的新币到黑客控制的地址,由于这种方法没有改变已发行的 KICKICO 令牌的数量,从而绕过了 KICKICO 的风控系统。
攻击实例分析:
结合 KickCoin智能合约代码(合约地址: https://etherscan.io/address/0x27695e09149adc738a978e9a678f99e4c39e9eb9
)和攻击事件前后的交易事件日志分析,降维安全实验室(johnwick.io)发现攻击者使用合约拥有者的身份在2018-07-25 10:15:40 PM+UTC通过调用合约的destroy()函数(此函数owner可以调用!)
销毁了 0x8184d4ffc09369dcd5e018eefa054e6bb597aca4地址约9680128个KickCoin通证,时价约160万美元。
然后在 2018-07-25 10:17:33 PM +UTC,即销毁KickCoin通证几分钟后,攻击者通过调用issue()函数。
给攻击者控制的地址 0x6e808fc8786988695332f5a95721b1a5a3209ef3发行了与销毁数量完全一致的通证,从而在不改变_totalSupply(即KickCoin总发行量)的情况下,绕过了平台发行方的总发行量监测预警,实现了token的窃取。
降维安全认为:
1、项目平台方需要妥善保管好智能合约的拥有者密钥,一旦密钥失窃,会造成无法估量的损失。
2、项目平台方除了对token通证总量进行监控外,也需要对关键操作如转账、销毁通证等进行事件记录和监控,防止黑客通过各种恶意操作绕过监控。
注:降维安全实验室 (johnwick.io)开发了针对以太坊交易的独特监控系统,能对全网交易和通证事件进行记录,并通过人工智能规则,对可疑交易和事件进行预警。
声明:所有在本站发表的文章,本站都具有最终编辑权。本站全部作品均系比特币之家原创或来自网络转载,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责,所产生的纠纷与本站无关。如涉及作品内容、版权和其它问题,请尽快与本站联系。
收藏
微信
微博
相关新闻
韩国金融监管管理局拟开发区块链股票交易系统文/深海
2018-08-03 15:08
瑞银发布评估报告:比特币还不能作为可行资产或货币文/深海
2018-08-03 15:06
黑客窃取价值770万美元数字货币 项目方应加强安全管控文/深海
2018-08-03 15:02
索尼提交两项区块链专利申请 发行“索尼币”的大门没有封死文/深海
2018-08-03 14:47
区块链智能手机开发公司Sirin Labs“抛弃”IOTA 转身拥抱以太坊区块链文/深海
2018-08-03 14:46
更多...
深海
一个很皮的区块链boy
总篇数
409
粉丝
1480
+关注
实时 查看更多>
2018.01.08
10:02:47
14:35
今日(8月3日)火币韩国站与韩国济州岛达成业务协力关系。火币称“若能够与济州特别自治市构造区块链枢纽站,火币韩国站则会利用全球网络人力创建咨询团。”
14:34
2018年8月2日,工业和信息化部信息化和软件服务业司组织召开区块链工作座谈会,邀请部分地方主管部门、部属支撑机构交流各地区块链发展情况,分析区块链发展面临的形势和挑战,研究探讨下一步工作推进思路。下一步,部信息化和软件服务业司将继续加强与各地工信主管部门的衔接互动,共同营造良好的发展环境,积极推动区块链健康有序发展。
14:34
金色盘面分析师表示:TRX自低点向上反弹,现报0.029美元,但依然受到下行趋势线和前期支撑破位处的双重压制,偏空走势未变,短线方面上方阻力关注0.030美元、下方支撑关注0.027美元。
14:33
据FCoin官方:FT发行机制经过一段时间的实践已经趋于稳定,考虑到目前的市场情况,为了进一步保护FT持有者的利益,即日起,FCoin推出FT长线持有者资产补偿计划。同时,FCoin将推出新的权证品种FT1908,通过FT长线投资者资产补偿计划按与FT 1:1比例发行,到期后以1:1比例交割FT现货,不在二级市场上市交易。
14:33
8月3日,Cocos创始人王哲在“2018中国区块链技术与游戏开发者大会 ? Cocos专场”上表示,区块链游戏并不是对端游、页游、手游之后新平台的一次迭代,而是位于游戏下载收费、时间收费、道具收费这个维度上的一次突破。区块链游戏道具资产归属于玩家而非游戏运营方的特点,适用于所有平台上的各品类游戏,将会对游戏的策划设计、研发和上线运营方式、流量获取方式等产生深远影响。传统游戏公司应正视和学习这种变化。这也是链游圈第一次公开提出的观点。
14:33
据NYPost报道,Salon Media利用其读者计算机挖掘数字货币的创新计划尚未让其摆脱财务困境。早在6月下旬,这家上市公司表示,它将无法提交美国证券交易委员会要求的年度财务报表。Salon Media是在1999年上市的新闻网站先驱,但现在不得不依靠富有的捐助者捐赠现金以使其保持活力。
14:33
8月3日讯,据中国证券报报道,中国人民银行科技司原司长陈静表示,区块链技术还处在发展起步阶段,落地难、规模化应用难,制约着产业的发展。未来,需重视关键技术和行业标准的跟踪研究和制定,实现区块链技术的成熟和自主可控;寻找共同的多边应用场景,开展协同创新,争取实现规模性应用;防范新技术、新应用可能带来新的金融风险,需确保区块链应用创新既符合市场需要,也符合监管合规的要求。
14:33
洛杉矶时间8月2日上午,Penta公链(PNT)CEO David Ritter受南加州大学供应链中心执行董事Nick Vyas的邀请,出席第六届全球供应链管理峰会,与美国商务局代表 James Sullivan、洛杉矶市长代表David Reich等展开探讨。David Ritter透露,Penta较早便已经在与洛杉矶市长办公室沟通区块链项目合作。在随后关于区块链如何与供应链管理行业结合的论坛上,Nick Vyas宣布将于2019年启动IBiCS,这是与美国商务局合作的研究项目,促进政府和企业对国际区块链供应链标准达成共识,Penta是其中被邀请加入的公链。
14:32
8月3日,Cocos创始人王哲在“2018中国区块链技术与游戏开发者大会 ? Cocos专场”上表示,区块链是一种革命,但有些规律没变,也就是头部效应。从ETH流水用户分布来看,头部效应和手机原生游戏一样,339款游戏当中,超过1000ETH流水的游戏总数只有16款。其中只有少数游戏盈利,就像游戏产品月流水过1亿,但是多数开发者没有赚到钱,区块链游戏也是如此。要让自己成为“头部”,从率先突破区块链游戏登录支付的繁琐程度、突破区块链游戏的游戏性开始,找到突破区才能抢占先机。
14:32
金色盘面分析师表示:XRP自支撑位向上反弹,现报0.44美元,注意关注上方0.45美元阻力的压制情况。
14:32
北京时间8月3日,IoTeX团队正式发布合作伙伴项目网站,开放合作伙伴申请。同时宣布与Lineable达成战略合作伙伴关系,共同推动以区块链驱动的可穿戴设备向前迈进,保障亿万家庭成员安全。通过此次合作,IoTeX将帮助Lineable落地区块链技术,包括数据隐私、信任数据共享、机器间通讯等。
14:31
据Bitcoin报道, 支持者向政治活动家和独立记者Tommy Robinson赠送了价值2万英镑(26000美元)的比特币,以帮助其支付法律费用。两个月前,Tommy Robinson因涉嫌违反藐视法庭命令而被捕,他被送往当地一所监狱,最近法庭发现他的被捕有错误,因此决定释放他。他在拘留期间共收到2万英镑价值的比特币捐赠。