显然,在 MtGox 或 QuadrigaCX 或类似案例发生后,创始人声称他们丢失了持有交易所大部分数字资产的私钥,同时消失或后来被发现死亡,加密领域的人们在听到一个hack 一个项目,第一个想到的是创始人基本上已经清空了资金并带着它跑了,这就是通常所说的 RUG。
在许多项目中可能都是这种情况,但不一定在所有项目中都是如此,所以今天我们正在研究一个案例,由于情况的性质,我们认为这是一个真正的黑客攻击。
我们认为这是一个值得分析的案例,因为它有助于更好地理解安全和审计在智能合约或区块链相关项目中的重要性。
我们将客观地分析 RING Financial 项目发生的戏剧性事件,RING Financial 项目是在 BSC(币安区块链)上推出的代币。
在进入hack之前,我们先总结一下之前的项目和它的情况:
黑客攻击前的 RING Financial
RING financial 是一个 DeFi 项目,旨在让 DeFi 和加密社区更容易访问 DeFi。 一个雄心勃勃的项目,想要创建一个由节点持有者管理的节点收益协议,并同时将流动性分配给 300 多个协议。 目的是通过一个 RING 节点和 RING Dapp 访问所有协议。
这些协议由团队验证,然后社区将投票决定将它们分配到哪里。 与 DAO 中的投票概念相同,这使得 RING 非常有吸引力。
RING Financial 还大大简化了单个节点持有者的研究过程和部署过程。 一个 Dapp 可以访问所有其他 Dapp,因此您只需要一个接口,而不是 300 个具有自己的访问权限和自己的节点的不同接口。
最后,RING Financial 的目标是降低部署不同协议的费用,随着交易量的增加,个人持有者的交易费用降低,这是该项目的主要卖点之一。 一个具有天赋和雄心的项目,旨在让社区的事情变得更容易,甚至让那些不了解 Defi 的人更加主流。
然而,天赋和野心并不总是足够的,你需要专业知识和知识,这在新的和不成熟的市场中是罕见的,这就是为什么 RING Financial 无法完全兑现其承诺。
那么 RING Financial 究竟发生了什么? 为什么它会被黑客入侵? 多亏了区块链,我们拥有了深入研究并查看漏洞所在以及原因所需的所有取证证据 RING Financial不是骗局.
RING Financial HACK 发生在 UTC 时间 5 年 2021 月 2 日下午 01:2 到 06:XNUMX 之间。
是的,一切都发生在 5 分钟内! 多亏了这些细节的区块链扫描器,顺便说一句,我们在与 HACK 相关的交易链接下方为您提供了这些链接,以及那些想要更详细搜索的人的合同地址。
以下是解释攻击者利用的漏洞的摘要:
您必须了解 RING Financial 的智能合约由几部分组成,一部分用于代币及其相关的所有数据,另一部分用于与节点和奖励的会计相关的所有内容。 令牌部分具有安全性,因此只有合同管理员才能修改此部分的重要数据,向您展示一些代码,这是通过属性“onlyOwner”保护的合同功能的标题其中规定该功能只能由管理员执行:
一个没有的函数 只有所有者 属性(或保护函数访问的等效属性)几乎可以由任何人执行。
现在,你猜怎么着? 节点和奖励部分的函数没有这个属性,你可以通过查看下面的函数名称看到( 只有所有者 缺少属性):
并且正如你所想象的那样,黑客利用并骗取了这个漏洞,在 RING 中获得了指数级的奖励,然后将它们倾倒在流动性池中,并在几分钟内几乎暴力清空。 因此,他实施了他的骗局。
现在你可能会问自己两个问题:
开发商怎么能留下这样的漏洞呢?
在与 Solidity 开发人员(用于在以太坊上编写智能合约的语言)交谈后,这是一个与两个智能合约之间的角色继承相关的错误,继承是编程语言的一种概念,为了不让你头疼,我们会停留在简单的话:基本上,很有可能编写合约的人认为Node部分的功能继承了Token部分功能的安全角色,但不幸的是在Solidity中并非如此,并且有必要重新定义每个合同的每个功能的角色,无论它们的链接是什么。 所以我们在这一点上的结论是,开发人员不是专家,他可能没有花时间再次阅读就发布了合同,可能是匆忙。
你怎么知道这个漏洞不是开发者自己故意留下的,不是骗局呢?
非常好的反对意见,当您不确定如何进行时,很容易假设一个骗局 聪明的合同 工作,但实际上很容易假设开发人员是清白的,因为他于 19 年 2021 月 XNUMX 日在 BSCSCAN.COM(币安区块链最受欢迎的扫描仪)上公开发布并验证了智能合约的全部代码,即也就是说,RING Financial HACK 发生前两周多。 而且正如之前所解释的那样,这个缺陷是用黑底白字写在合同中的,任何有经验的开发人员都会注意到它并做出反应,但不幸的是,第一个毫不留情。 因此很明显,开发人员并没有意识到这个缺陷,因为他不会冒险让任何人随时杀死 RING Financial 项目。
回到 RING Financial HACK 的继续,开发人员意识到自己的错误并简单地冻结了合约以停止任何奖励分配,这样攻击者就不会完全清空矿池。 然后他重新部署了一个 Node 合约,这次带有安全属性“onlyOwner”。 这个新的节点合约能够正确处理新的奖励分配,只是为时已晚,因为由于 HACK,项目和团队失去了所有信任,销售压力杀死并结束了代币和该项目。
总而言之,我们选择这个故事是因为它展示了关于智能合约和加密项目的两件重要事情,永远不要仓促编写合约并始终联系审计公司,因为一旦黑客攻击发生,挽救船只就为时已晚,并且RING Financial 项目就是一个很好的例子,此外,根据他们的沟通,他们已经为第二个节点合同联系了审计公司,并且在确定其安全性之前没有将其公开发布在 BSCSCAN 上。 但正如之前所说,对 RING Financial 来说为时已晚,损失已经无法挽回。
以下是扫描仪的所有链接和合约地址:
钱包执行黑客攻击交易:0xfe58c9e2ecb95757be6f4bca33162cfa346cc34f
Ring smart-contract address: 0x521ef54063148e5f15f18b9631426175cee23de2
Ring reward pool address: 0xa46cc87eca075c5ae387b86867aa3ee4cb397372
交易黑客利用:
TRX 1
link: https://bscscan.com/tx/0x596d38494ea5ae640b2a556a7029692928f15713d22b5948477c4eb4a92cf68e
TRX 2
link: https://bscscan.com/tx/0xfc890c855709bb6aeb5177ee31e08751561344402a88af13e7dfd02b9a2f6003
TRX 3
link: https://bscscan.com/tx/0x35c2f1ed9c5ce13a714af6c0dcbbce8fe720f7d6212232b6dd3657d8799a10f1
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.fintechnews.org/how-to-judge-if-a-so-called-hack-that-happened-to-a-crypto-or-blockchain-project-is-legit-or-if-its-just-a-mechanism-to-hide-a-rug/
- :是
- 2021
- a
- Able
- 关于
- ACCESS
- 无障碍
- 根据
- 基本会计和财务报表
- 通
- 地址
- 地址
- 后
- 所有类型
- 时刻
- 志向
- 有雄心
- 分析
- 和
- 另一个
- 任何人
- 保健
- AS
- 办公室文员:
- At
- 吸引力
- 审计
- 审计公司
- 审计
- 基本上
- BE
- 因为
- before
- 相信
- 如下。
- 更好
- 之间
- binance
- 黑色
- blockchain
- 区块链相关
- 船
- 平衡计分卡
- by
- 被称为
- CAN
- 案件
- 例
- 原因
- 一定
- 声称
- 码
- COM的
- 如何
- 未来
- 常用
- 沟通
- 社体的一部分
- 完全
- 由
- 概念
- 总结
- 结论
- CONTACT
- 延续
- 合同
- 可以
- 创建信息图
- 加密
- 密码社区
- 加密项目
- DAO
- DAPP
- DApps
- data
- 死
- 十二月
- DEFI
- 部署
- 部署
- 细节
- 详情
- 开发商
- 开发
- DID
- 不同
- 数字
- 数字资产
- 消失
- 分配
- 戏剧
- 每
- 更容易
- 更多
- 整个
- 完全
- 错误
- 复仇
- 甚至
- 一切
- 证据
- 例子
- 除
- 换货
- 执行
- 有经验
- 技术专家
- 专门知识
- 解释
- 说明
- 利用
- 剥削
- 指数
- 费用
- 少数
- 金融
- 找到最适合您的地方
- 企业
- (名字)
- 缺陷
- 针对
- 法医
- 发现
- 创始人
- 功能
- 功能
- 基金
- 其他咨询
- 得到
- 非常好
- 破解
- 至少从2010年开始,
- 黑客
- 处理
- 发生
- 发生
- 有
- 听
- 帮助
- 相关信息
- 隐藏
- 持有人
- 持有人
- 保持
- 创新中心
- How To
- HTTPS
- IBM
- 重要性
- 重要
- in
- 日益
- 个人
- 继承权
- 代替
- 有趣
- 接口
- IT
- 它的
- JPG
- 法官
- 键
- 杀
- 知道
- 知识
- 语言
- 晚了
- 推出
- 离开
- 合法的
- 容易
- 友情链接
- 链接
- 流动性
- 流动资金池
- 寻找
- 占地
- 制成
- 主要
- 主流
- 多数
- 使
- 制作
- 许多
- 市场
- 最大宽度
- 机制
- 介意
- 分钟
- 失踪
- 修改
- 更多
- 此外
- 最先进的
- 最受欢迎的产品
- mtgox
- 名称
- 自然
- 一定
- 必要
- 需求
- 全新
- 节点
- 节点
- 概念
- 十一月
- 数
- 明显
- of
- on
- 一
- 秩序
- 其他名称
- 己
- 部分
- 部分
- 员工
- 人
- 采摘的
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 点
- 池
- 热门
- 帖子
- 压力
- 私立
- 私钥
- 大概
- 过程
- 代码编程
- 项目
- 项目
- 承诺
- 保护
- 保护
- 协议
- 协议
- 提供
- 公然
- 出版
- 目的
- QuadrigaCX
- 有疑问吗?
- 罕见
- 阅读
- 真实
- 实现
- 减少
- 有关
- 研究
- 导致
- 回报
- 积分
- 奖励
- 戒指
- 风险
- 角色
- 角色
- 运行
- 说
- 同
- 保存
- 诈骗
- 诈骗
- 搜索
- 其次
- 保安
- 卖房
- 几个
- 显示
- 作品
- 类似
- 简易
- 简
- 只是
- 单
- 情况
- 聪明的合同
- So
- 坚固
- 一些
- 留
- Stop 停止
- 故事
- 这样
- 总结
- 概要
- 可疑
- 服用
- 说
- 团队
- 谢谢
- 这
- 其
- 他们
- 因此
- 博曼
- 事
- 思想
- 通过
- 次
- 至
- 今晚
- 象征
- 也有
- 交易
- 交易费
- 交易
- 信任
- 理解
- UTC
- 专利
- 通过
- 体积
- 投票
- 表决
- 漏洞
- 通缉
- 方法..
- 周
- 井
- 什么是
- 这
- 而
- 白色
- WHO
- 将
- 也完全不需要
- 话
- 工作
- 将
- 书面
- 生产
- 完全
- 你自己
- 和风网