uspd
322 skatījumi
4 piedalās diskusijā
Populārie
Jaunumi
Skatīt oriģinālu
🚨 Gadījumu brīdinājums | Stabilā nauda USPD ir pakļauta “miega bumbas” uzbrukumam, zaudējumi miljonus dolāru
💸 Notikuma kodols
Saskaņā ar PeckShield un citu iestāžu apstiprinājumu, stabilās naudas projekts USPD nesen piedzīvoja rūpīgi plānots “CPIMP” (starptautiskais aģents) uzbrukumu. Uzbrucēji, izmantojot projekta inicializācijas procesu, ielika miega ļaunprātīgu kodu un aktivizēja to pēc vairākiem mēnešiem, nelikumīgi izgatavojot 98 miljonus USPD un nozogot aptuveni 232 stETH, kopējie zaudējumi apmēram 1 miljons dolāru.
🔍 Uzbrukuma metodes analīze
Pirms laika izvietošana, “kronas” iegūšana: projekta izvietošanas posmā uzbrucēji izmantoja Multicall3 rīku, lai pirms laika inicializētu aģenta līgumu, tādējādi slepeni iegūstot augstākā administratora tiesības.
Ieliek “miega loģiku”: uzbrucēji ļaunprātīgu uzlabojumu loģiku maskēja kā auditu izturējušus normālus līguma kodus, kas tika izvietoti kopā, un šī loģika pēc izvietošanas palika miegā, izvairoties no drošības pārbaudēm pirms un pēc palaišanas.
Mēnešu laikā slēpās, pēkšņi aktivizējās: kad komanda un kopiena ir atslābinājusies vairāku mēnešu laikā, uzbrucēji attālināti aktivizēja miega loģiku, veica ļaunprātīgu uzlabojumu un vienā mirklī veica milzīgu zādzību.
💡 Nozares drošības brīdinājums
Audita “laika aklums”: tradicionālais vienreizējais audits nevar aizsargāt pret šādu laika posmu, kas ilgst vairākus mēnešus, “augsta līmeņa pastāvīgu draudu” gadījumā. Kods audita laikā ir “nevainīgs”, nenozīmē, ka nākotnē tas ir uz visiem laikiem drošs.
Izvietošanas process ir letāla vājība: projekta visvājākais brīdis bieži ir palaišanas brīdis. Ir jāstandartizē un jāaizsargā pats izvietošanas process (piemēram, aģenta inicializācija) ar vairāku parakstu aizsardzību.
Nepārtraukta uzraudzība ir neaizstājama: projektiem, kuriem ir aģenta uzlabošanas iespējas, ir jāizveido 7×24 stundu izņēmuma uzraudzība attiecībā uz līguma pārvaldību un uzlabošanas darbībām.
#智能合约安全 #高级持续性威胁 #代理攻击 #USPD
💸 Notikuma kodols
Saskaņā ar PeckShield un citu iestāžu apstiprinājumu, stabilās naudas projekts USPD nesen piedzīvoja rūpīgi plānots “CPIMP” (starptautiskais aģents) uzbrukumu. Uzbrucēji, izmantojot projekta inicializācijas procesu, ielika miega ļaunprātīgu kodu un aktivizēja to pēc vairākiem mēnešiem, nelikumīgi izgatavojot 98 miljonus USPD un nozogot aptuveni 232 stETH, kopējie zaudējumi apmēram 1 miljons dolāru.
🔍 Uzbrukuma metodes analīze
Pirms laika izvietošana, “kronas” iegūšana: projekta izvietošanas posmā uzbrucēji izmantoja Multicall3 rīku, lai pirms laika inicializētu aģenta līgumu, tādējādi slepeni iegūstot augstākā administratora tiesības.
Ieliek “miega loģiku”: uzbrucēji ļaunprātīgu uzlabojumu loģiku maskēja kā auditu izturējušus normālus līguma kodus, kas tika izvietoti kopā, un šī loģika pēc izvietošanas palika miegā, izvairoties no drošības pārbaudēm pirms un pēc palaišanas.
Mēnešu laikā slēpās, pēkšņi aktivizējās: kad komanda un kopiena ir atslābinājusies vairāku mēnešu laikā, uzbrucēji attālināti aktivizēja miega loģiku, veica ļaunprātīgu uzlabojumu un vienā mirklī veica milzīgu zādzību.
💡 Nozares drošības brīdinājums
Audita “laika aklums”: tradicionālais vienreizējais audits nevar aizsargāt pret šādu laika posmu, kas ilgst vairākus mēnešus, “augsta līmeņa pastāvīgu draudu” gadījumā. Kods audita laikā ir “nevainīgs”, nenozīmē, ka nākotnē tas ir uz visiem laikiem drošs.
Izvietošanas process ir letāla vājība: projekta visvājākais brīdis bieži ir palaišanas brīdis. Ir jāstandartizē un jāaizsargā pats izvietošanas process (piemēram, aģenta inicializācija) ar vairāku parakstu aizsardzību.
Nepārtraukta uzraudzība ir neaizstājama: projektiem, kuriem ir aģenta uzlabošanas iespējas, ir jāizveido 7×24 stundu izņēmuma uzraudzība attiecībā uz līguma pārvaldību un uzlabošanas darbībām.
#智能合约安全 #高级持续性威胁 #代理攻击 #USPD
Pieraksties, lai skatītu citu saturu